FreePBX heeft een kwetsbaarheid verholpen in versies 15, 16 en 17. FreePBX is een gratis en open-source telefooncentrale (PBX = Private Branch Exchange). De kwetsbaarheid wordt aangeduid met CVE-2025-57819.
FreePBX meldt dat actief misbruik heeft plaatsgevonden op meerdere systemen met FreePBX versie 16 en 17 die voorzien waren van onvoldoende IP-filtering en ACLs (Access Control List) en waarbij de managementinterface rechtstreeks verbonden was met het internet. De kwetsbaarheid is daarom ingeschaald als ‘High/High’. Dit betekent dat zowel de kans op misbruik, als de kans op schade groot is.
Wat is het risico?
De kwetsbaarheid stelt aanvallers in staat om ongeautoriseerde toegang te krijgen en mogelijk willekeurige code uit te voeren, door misbruik te maken van onvoldoende controle op ingevoerde gegevens.
Wat kan je doen?
FreePBX heeft beveiligingsupdates uitgebracht om de kwetsbaarheid te verhelpen. Het is belangrijk om te bevestigen dat de geïnstalleerde 'endpoint' module voldoet aan de minimaal gepatchte versies. Systemen die niet automatisch updaten, of gebruikers die handmatig willen bijwerken, kunnen dit doen via het Administrator Control Panel-menu.
Het Digital Trust Center (DTC) adviseert om de update zo spoedig mogelijk te installeren en je systeem te controleren op aanwezigheid van IOC's als je je managementinterface aan het internet hebt verbonden. Deze IOC’s zijn te vinden op de website van FreePBX.
Het verbinden van de managementinterface aan het internet is alleen aan te raden in noodzakelijke gevallen, en dan alleen vanaf specifieke IP-adressen en eventueel met gebruik van een VPN. Lees meer over edge-devices. Neem contact op met je IT-dienstverlener als je niet zeker weet of je gebruikmaakt van een kwetsbare versie.
Hulp nodig bij patch-management?
Wil je hulp bij patch-management? Kleine bedrijven kunnen nu tijdelijk profiteren van 50% subsidie op de aanschaf en implementatie van belangrijke cyberweerbaarheidsmaatregelen. Lees meer over de Mijn Cyberweerbare Zaak-subsidie.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb en vraag nu tijdelijk subsidie aan via Mijn Cyberweerbare Zaak.