ZURÜCK ZU NACHRICHTEN
EilmeldungNiedrig

Über 900 Sangoma FreePBX-Systeme weiterhin mit Web-Shells infiziert

2 Min. LesezeitQuelle: The Hacker News

Sicherheitsforscher identifizieren über 900 kompromittierte FreePBX-Instanzen durch anhaltende Web-Shell-Angriffe. Erfahren Sie Details zur Schwachstelle und Schutzmaßnahmen.

Anhaltende Web-Shell-Angriffe auf Sangoma FreePBX-Systeme

Die Shadowserver Foundation hat über 900 Sangoma FreePBX-Instanzen identifiziert, die weiterhin mit Web-Shells infiziert sind. Diese Angriffe nutzen eine Command-Injection-Schwachstelle aus, die erstmals im Dezember 2025 entdeckt wurde. Von den kompromittierten Systemen befinden sich 401 in den USA, gefolgt von 51 in Brasilien, 43 in Kanada, 40 in Deutschland und 36 in Frankreich. Die Non-Profit-Organisation bestätigte, dass diese Kompromittierungen wahrscheinlich Teil einer anhaltenden Kampagne sind.

Technische Details

Die Angriffe nutzen eine ungepatchte Command-Injection-Schwachstelle in Sangoma FreePBX aus, einer weit verbreiteten Open-Source-PBX-Plattform (Private Branch Exchange) für VoIP-Kommunikation. Bedrohungsakteure setzen Web-Shells ein – bösartige Skripte, die persistenten Fernzugriff ermöglichen – um die Kontrolle über kompromittierte Systeme zu behalten. Obwohl die genaue CVE-Kennung noch nicht offengelegt wurde, ermöglicht die Schwachstelle Angreifern die Ausführung beliebiger Befehle auf betroffenen Instanzen.

Auswirkungsanalyse

Die weit verbreitete Kompromittierung von FreePBX-Systemen birgt erhebliche Risiken, darunter:

  • Unautorisierten Zugriff auf VoIP-Kommunikation und sensible Anrufdaten
  • Laterale Bewegung innerhalb von Netzwerken, die die kompromittierten PBX-Instanzen hosten
  • Möglichkeit zur weiteren Malware-Verbreitung, einschließlich Ransomware oder Tools zur Datenexfiltration
  • Unterbrechung der Geschäftskommunikation, insbesondere für Organisationen, die auf VoIP-Dienste angewiesen sind

Die geografische Verteilung der Infektionen deutet auf eine global ausgerichtete Kampagne hin, mit einer bemerkenswerten Konzentration in Nordamerika und Europa.

Empfehlungen für Sicherheitsteams

Sicherheitsexperten, die Sangoma FreePBX-Installationen verwalten, sollten:

  1. Sofort isolieren und untersuchen, wenn Systeme verdächtige Aktivitäten zeigen.
  2. Die neuesten Sicherheitspatches von Sangoma anwenden, um die Command-Injection-Schwachstelle zu schließen.
  3. Nach Web-Shells scannen mit Tools wie ClamAV, YARA oder spezialisierten Web-Shell-Erkennungsskripten.
  4. Zugriffsprotokolle überprüfen auf Anzeichen unautorisierter Befehlsausführung oder Fernzugriff.
  5. Strenge Netzwerksegmentierung durchsetzen, um laterale Bewegungen im Falle einer Kompromittierung einzuschränken.
  6. Auf ungewöhnlichen VoIP-Datenverkehr achten, der auf Datenexfiltration oder weitere Ausnutzung hindeuten könnte.

Organisationen, die FreePBX nutzen, sollten die Behebung priorisieren, da ungepatchte Systeme weiterhin primäre Ziele für Cyberkriminelle bleiben. Die Shadowserver Foundation verfolgt die Kampagne weiterhin und fordert betroffene Einrichtungen auf, Vorfälle zur weiteren Analyse zu melden.

Teilen

TwitterLinkedIn