ZURÜCK ZU NACHRICHTEN
Eilmeldung

Schwere Web-Shell-Infektionen bei 900 Sangoma FreePBX-Systemen durch Command-Injection-Schwachstelle

3 Min. LesezeitQuelle: SecurityWeek

Sicherheitsforscher identifizieren großflächige Kompromittierung von 900 Sangoma FreePBX-Instanzen durch Web-Shells via Command-Injection-Lücke. Erfahren Sie, wie Sie Ihr System schützen können.

Sangoma FreePBX-Systeme in großangelegtem Web-Shell-Angriff kompromittiert

Sicherheitsforscher haben eine weitreichende Kompromittierung von 900 Sangoma FreePBX-Instanzen festgestellt, die durch die Ausnutzung einer Command-Injection-Schwachstelle nach der Authentifizierung in der Endpoint Manager-Schnittstelle der Plattform mit Web-Shells infiziert wurden. Die Angriffe verdeutlichen die anhaltenden Risiken, die mit VoIP- und Unified-Communications-Infrastrukturen verbunden sind.

Technische Details des Exploits

Die Schwachstelle, die zum Zeitpunkt der Berichterstattung keine CVE-ID erhalten hat, ermöglicht es Angreifern, nach der Authentifizierung beliebige Befehle auf verwundbaren FreePBX-Systemen auszuführen. Die Lücke befindet sich im Endpoint Manager-Modul, einer Komponente, die zur Konfiguration und Verwaltung von VoIP-Endpunkten verwendet wird. Durch die Ausnutzung dieser Schwachstelle konnten Angreifer Web-Shells einsetzen, die ihnen persistenten Fernzugriff auf die kompromittierten Systeme gewähren.

Sangoma FreePBX ist eine Open-Source-PBX (Private Branch Exchange)-Plattform, die weit verbreitet für VoIP und Unified Communications eingesetzt wird. Die betroffenen Systeme werden typischerweise in Unternehmensumgebungen eingesetzt, was sie zu hochwertigen Zielen für Angreifer macht, die sich Zugang zu Unternehmensnetzwerken verschaffen möchten.

Auswirkungen und Risiken

Die Bereitstellung von Web-Shells auf FreePBX-Instanzen birgt erhebliche Risiken, darunter:

  • Persistenter Fernzugriff für Angreifer, der weiteres laterales Movement innerhalb von Netzwerken ermöglicht.
  • Datenexfiltration, einschließlich Anrufprotokollen, Voicemail-Aufzeichnungen und sensiblen Kommunikationen.
  • Möglichkeit für sekundäre Angriffe, wie die Bereitstellung von Ransomware oder VoIP-Betrug (z. B. Toll Fraud).
  • Kompromittierung angrenzender Systeme, insbesondere wenn FreePBX-Server in andere Unternehmensanwendungen integriert sind.

Das Ausmaß der Infektion – 900 betroffene Instanzen – deutet auf eine automatisierte Ausnutzung hin, die wahrscheinlich auf exponierte oder falsch konfigurierte FreePBX-Installationen abzielt. Organisationen, die Sangoma FreePBX nutzen, sollten davon ausgehen, dass ungepatchte Systeme ein unmittelbares Kompromittierungsrisiko darstellen.

Empfehlungen für Sicherheitsteams

  1. Sofortiges Patchen: Installieren Sie die neuesten Sicherheitsupdates von Sangoma, um die Command-Injection-Schwachstelle zu beheben. Falls kein Patch verfügbar ist, sollten Sie das Endpoint Manager-Modul deaktivieren, bis ein Fix veröffentlicht wird.
  2. Isolation und Eindämmung: Isolieren Sie betroffene FreePBX-Instanzen vom Netzwerk, um weitere Ausnutzung oder laterales Movement zu verhindern.
  3. Forensische Analyse: Führen Sie eine gründliche Untersuchung durch, um das Ausmaß der Kompromittierung festzustellen. Überprüfen Sie dabei auf Web-Shells (z. B. .php-, .jsp- oder .asp-Dateien in Web-Verzeichnissen) und analysieren Sie Protokolle auf unbefugten Zugriff.
  4. Passwortrotation: Setzen Sie alle mit FreePBX verbundenen Anmeldeinformationen zurück, einschließlich administrativer Konten, SIP-Anmeldedaten und Datenbankpasswörter.
  5. Netzwerksegmentierung: Stellen Sie sicher, dass FreePBX-Systeme von anderen kritischen Netzwerkressourcen segmentiert sind, um die Auswirkungen potenzieller Sicherheitsverletzungen zu begrenzen.
  6. Überwachung und Erkennung: Implementieren Sie Intrusion Detection/Prevention Systems (IDS/IPS) und Endpoint Detection and Response (EDR)-Lösungen, um ungewöhnliche Aktivitäten wie verdächtige Befehlsausführungen oder ausgehende Verbindungen zu erkennen.

Fazit

Dieser Vorfall unterstreicht die entscheidende Bedeutung der Sicherung von VoIP- und Unified-Communications-Infrastrukturen, die in Unternehmenssicherheitsstrategien oft vernachlässigt werden. Organisationen, die Sangoma FreePBX nutzen, müssen das Patchen, die Überwachung und die Härtung priorisieren, um die Risiken durch diese und ähnliche Schwachstellen zu mindern. Sicherheitsteams sollten exponierte FreePBX-Instanzen als Hochrisiko-Assets behandeln und proaktive Maßnahmen ergreifen, um eine Ausnutzung zu verhindern.

Teilen

TwitterLinkedIn