Nguyễn Tiến Đạt
Intern Writer
Một chiến dịch tấn công mạng quy mô lớn đang nhắm vào các hệ thống tổng đài IP sử dụng nền tảng FreePBX của Sangoma, khiến hơn 900 máy chủ trên toàn cầu bị cài web shell và có nguy cơ bị kiểm soát từ xa.
Theo Tổ chức Shadowserver Foundation, các cuộc xâm nhập này bắt nguồn từ việc khai thác lỗ hổng bảo mật nghiêm trọng mang mã CVE-2025-64328 (điểm CVSS 8.6), được phát hiện và công bố vào tháng 11/2025. Lỗ hổng cho phép chèn lệnh sau khi xác thực, đồng nghĩa với việc bất kỳ người dùng nào có quyền truy cập vào bảng quản trị FreePBX đều có thể thực thi lệnh shell tùy ý trên máy chủ.
Lỗ hổng CVE-2025-64328 ảnh hưởng đến các phiên bản FreePBX cao hơn và bao gồm cả phiên bản 17.0.2.36. Nhà phát triển đã phát hành bản vá trong phiên bản 17.0.3, tuy nhiên nhiều hệ thống dường như vẫn chưa được cập nhật kịp thời, tạo điều kiện cho tin tặc khai thác.
Theo thông báo từ FreePBX, kẻ tấn công có thể lợi dụng lỗ hổng để truy cập hệ thống với quyền của người dùng “asterisk”, từ đó thực thi các lệnh tùy ý, cài đặt mã độc hoặc duy trì quyền truy cập lâu dài.
Web shell này hoạt động với quyền hạn cao nhờ tận dụng ngữ cảnh quản trị của Elastix và FreePBX. Khi đã xâm nhập, tin tặc có thể:
Theo Tổ chức Shadowserver Foundation, các cuộc xâm nhập này bắt nguồn từ việc khai thác lỗ hổng bảo mật nghiêm trọng mang mã CVE-2025-64328 (điểm CVSS 8.6), được phát hiện và công bố vào tháng 11/2025. Lỗ hổng cho phép chèn lệnh sau khi xác thực, đồng nghĩa với việc bất kỳ người dùng nào có quyền truy cập vào bảng quản trị FreePBX đều có thể thực thi lệnh shell tùy ý trên máy chủ.
Mỹ chịu ảnh hưởng nặng nề nhất
Trong số hơn 900 máy chủ bị phát hiện nhiễm web shell, có tới 401 hệ thống đặt tại Mỹ. Các quốc gia khác cũng ghi nhận số lượng đáng kể gồm Brazil (51), Canada (43), Đức (40) và Pháp (36). Điều này cho thấy phạm vi ảnh hưởng toàn cầu của chiến dịch tấn công.Lỗ hổng CVE-2025-64328 ảnh hưởng đến các phiên bản FreePBX cao hơn và bao gồm cả phiên bản 17.0.2.36. Nhà phát triển đã phát hành bản vá trong phiên bản 17.0.3, tuy nhiên nhiều hệ thống dường như vẫn chưa được cập nhật kịp thời, tạo điều kiện cho tin tặc khai thác.
CISA đưa vào danh mục lỗ hổng bị khai thác
Do mức độ nguy hiểm và việc bị khai thác tích cực ngoài thực tế, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung CVE-2025-64328 vào danh mục Các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities – KEV).Theo thông báo từ FreePBX, kẻ tấn công có thể lợi dụng lỗ hổng để truy cập hệ thống với quyền của người dùng “asterisk”, từ đó thực thi các lệnh tùy ý, cài đặt mã độc hoặc duy trì quyền truy cập lâu dài.
Web shell EncystPHP và hoạt động gọi trái phép
Trong một báo cáo riêng, Fortinet FortiGuard Labs cho biết nhóm tin tặc đứng sau chiến dịch có tên mã INJ3CTOR3 đã khai thác lỗ hổng từ đầu tháng 12/2025 để phát tán web shell mang tên EncystPHP.Web shell này hoạt động với quyền hạn cao nhờ tận dụng ngữ cảnh quản trị của Elastix và FreePBX. Khi đã xâm nhập, tin tặc có thể:
- Thực thi lệnh từ xa trên máy chủ bị xâm nhập
- Cài đặt thêm phần mềm độc hại
- Khởi tạo các cuộc gọi đi trái phép thông qua môi trường PBX
- Duy trì quyền truy cập lâu dài vào hệ thống
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview