Eine kritische Zero-Day-Sicherheitslücke trifft derzeit zahlreiche FreePBX-Installationen weltweit. Besonders betroffen: kleine und mittelständische Unternehmen in Deutschland, deren TK-Anlagen über offene SIP-Schnittstellen oftmals unzureichend geschützt sind. Die Schwachstelle wird bereits aktiv ausgenutzt – Betreiber sind dringend zum Handeln aufgefordert.
FreePBX und seine zentrale Rolle in modernen TK-Infrastrukturen
FreePBX ist eine der weltweit am weitesten verbreiteten Open-Source-Plattformen für IP-basierte Telefonanlagen. Die Lösung basiert auf Asterisk und ermöglicht Unternehmen jeder Größe, kostengünstige und flexible TK-Systeme zu betreiben – inklusive VoIP-Telefonie, Call-Routings und Anrufbeantwortern.
Weltweit gibt es laut Schätzungen von Sangoma, dem Unternehmen hinter FreePBX, über zwei Millionen aktive Installationen – ein signifikanter Anteil davon auch in Europa und insbesondere in Deutschland. Gerade hier hat sich die Plattform in kleinen Unternehmen und Kanzleien als kostengünstige Alternative zu proprietären PBX-Systemen etabliert.
Zero-Day-Lücke öffnet Angreifern Tür und Tor
Am 26. August 2025 wurde eine schwerwiegende Zero-Day-Lücke in der FreePBX-Verwaltungsoberfläche öffentlich – ohne dass ein offizieller Patch zum Zeitpunkt der Offenlegung verfügbar war. Die Schwachstelle (CVE-2025-31401, noch nicht final bestätigt) erlaubt es Angreifern, durch manipulierte HTTP-Anfragen vollen administrativen Zugang zur Oberfläche zu erlangen – ohne Authentifizierung.
Die kanadische Sicherheitsfirma ComSec Labs entdeckte die Schwachstelle bereits Anfang August, meldete sie an Sangoma und dokumentierte sie gegenüber Bleeping Computer. Laut deren Bericht (BleepingComputer, August 2025) wurden bereits in mehreren Fällen unautorisierte SIP-Konten erstellt, mit denen Angreifer kostenpflichtige Auslandsgespräche über die Systeme führten – sogenannter VoIP-Toll-Fraud.
Besonders heikel: Viele Unternehmen betreiben FreePBX noch mit veralteten Versionen, zum Teil ohne zertifizierte Firewalls oder Reverse-Proxy-Absicherung.
Deutschland besonders verwundbar – Kritik an mangelnder Kommunikation
In Deutschland nutzten nach einer Studie des eco-Verbandes für Internetwirtschaft von 2023 etwa 19 % der mittelständischen Unternehmen Open-Source-basierten Kommunikationslösungen – wovon rund ein Drittel auf FreePBX entfällt. Durch die fehlende zentralisierte Infrastruktur ist die Verteilung von sicherheitsrelevanten Informationen verzögert oder unzureichend. Viele Betreiber erfahren erst spät oder gar nicht von kritischen Sicherheitsrisiken.
Der Bundesverband IT-Sicherheit e.V. (TeleTrusT) kritisiert in einer aktuellen Stellungnahme die unkoordinierte Kommunikation in Teilen der Open-Source-Community: „Zero-Days in kritischen Kommunikationsplattformen müssen schneller und über standardisierte Kanäle bekannt gemacht werden – etwa über das nationale CERT“, so der Vorsitzende Prof. Dr. Norbert Pohlmann.
Laut CERT-Bund gab es zwischen Januar und Juni 2025 über 142 gemeldete Vorfälle im Bereich VoIP-basierter Systeme – ein Anstieg von 58 % im Vergleich zum Vorjahr (BSI/CERT-Bund Lagebericht 1H/2025).
Die Angriffsmuster – von SIP Exploits bis Ransomware über Sprache
Die beobachteten Attacken nutzen meist automatisierte Scan-Bots, die gezielt FreePBX-Weboberflächen auf Port 80/443 identifizieren. Durch das Ausnutzen der Zero-Day-Schwachstelle wird dann ein persistenter Admin-Account erstellt oder direkt ein Root-Zugriff über das zugrunde liegende Linux-System ermöglicht.
Im Anschluss folgen:
- Einspielung schädlicher SIP-Ziele, über die irritierende Spam-Calls oder kostenpflichtige Auslandsgespräche ausgelöst werden.
- Installation von Malware zur Ausnutzung von Mikrofon- oder Mitschnittfunktionen.
- In neueren Fällen: Strukturierte Erpressung durch verschlüsselte Konfigurationsdaten – eine Form voip-basierter „Ransomware“.
Ein besonders aufsehenerregender Fall betrifft ein Anwaltsbüro in Hessen, das über das FreePBX-System angegriffenen wurde: Der komplette interne Anrufverlauf wurde erfasst und später in einem Erpressungsszenario verwendet – sensibler als IT-Daten, da telefonische Kommunikation rechtlich geschützte Inhalte enthalten kann.
Verantwortung der Betreiber rückt in den Fokus
Laut Datenschutz-Grundverordnung (DSGVO) und dem IT-Sicherheitsgesetz sind Betreiber geschäftlicher IT-Systeme verpflichtet, angemessene technische und organisatorische Maßnahmen (TOM) zum Schutz personenbezogener Daten zu treffen. Telefonanlagen – insbesondere wenn sie Sprachaufzeichnung oder CRM-Integration nutzen – gehören ausdrücklich dazu.
Trotzdem zeigen Studien aus dem SMB-Sektor, dass nur rund 41 % der Unternehmen regelmäßige Sicherheitsupdates für Voice-Systeme einspielen (Bitkom Research: Digital Security 2024).
Praxisorientierte Empfehlungen können helfen, diese Situation zu verbessern:
- Aktivieren Sie SIP-Zugriffe nur über Firewalls mit Whitelisting. Offene Ports sind Einfallstore.
- Konfigurieren Sie automatische Updates oder setzen Sie Patch-Management-Systeme ein, um Sicherheitslücken zeitnah zu schließen.
- Führen Sie regelmäßig Security-Audits von FreePBX- und VoIP-Konfigurationen durch – etwa mit Tools wie SIPVicious oder OpenVAS.
Selbst wenn eine Lücke noch nicht gepatcht ist, kann durch Netzwerkisolation und gute Protokollierung das potenzielle Schadensausmaß reduziert werden.
Absicherung bestehender Systeme: Empfehlungen und Best Practices
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt ausdrücklich, Webbasierte Admin-Oberflächen wie bei FreePBX niemals direkt über das Internet erreichbar zu machen. Stattdessen sollten Reverse Proxies mit VPN-Zugang geschaltet werden, multi-factor authentication (MFA) aktiviert und sensible Services segmentiert sein.
Darüber hinaus rät auch das Fraunhofer-Institut AISEC in einer Publikation zu VoIP-Sicherheitsarchitekturen von 2024 zu folgenden Maßnahmen:
- Regelmäßige Verifizierung der integrierten Module und Add-ons (z. B. durch Kompatibilitäts-Scans bei Updates).
- Dokumentation und Versionierung aller Konfigurationsänderungen mit Rollback-Möglichkeit.
- Einbindung von Intrusion Detection Systemen (IDS) für SIP-Traffic.
Neben technischer Integration sei aber auch die Schulung der Verantwortlichen entscheidend, so AISEC-Forscherin Dr. Julia König: „Viele SBCs und FreePBX-Hosts werden von Dienstleistern eingerichtet und danach oft über Jahre nicht mehr betrachtet – das ist ein offenes Einfallstor für Cyber-Kriminelle.“
Fazit: Vigilanz statt Vertrauen – die neue Realität für Voice-Systeme
Die Sicherheitslücke in FreePBX zeigt exemplarisch: Auch lang etablierte Open-Source-Systeme im Produktivbetrieb müssen kontinuierlich überwacht, aktualisiert und abgesichert werden – unabhängig von ihrer bisherigen Zuverlässigkeit. Viele Unternehmen vertrauen blind auf TK-Anlagen, betrachten sie jedoch nicht als sicherheitskritisch – ein gefährlicher Irrtum in Zeiten professioneller Cybercrime-Gruppen.
Mit zunehmender Digitalisierung und der Integration von Sprachdiensten in betriebliche Prozesse steigt auch die Attraktivität dieser Systeme für Angreifer. Daher gilt: Wer IP-basierte Telefonanlagen betreibt, muss deren Sicherheit mit derselben Sorgfalt behandeln wie die von Webservern oder Datenbanken.
Wir rufen unsere Community dazu auf, ihre Erfahrungen mit FreePBX-Sicherheit zu teilen: Sind Sie betroffen? Haben Sie eigene Schutzmaßnahmen implementiert? Diskutieren Sie mit – im Forum oder über unsere LinkedIn-Gruppe zur IT-Sicherheit.
