900以上のSangoma FreePBXシステムがWebシェル攻撃で感染状態に

継続的なWebシェル攻撃がSangoma FreePBXシステムを標的に

Shadowserver Foundationは、900以上のSangoma FreePBXインスタンスがWebシェルに感染したままであることを確認しました。この攻撃は、2025年12月から始まったコマンドインジェクション脆弱性を悪用したものです。感染が確認されたシステムのうち、401台が米国にあり、次いでブラジル51台、カナダ43台、ドイツ40台、フランス36台と続きます。この非営利団体は、これらの侵害が継続的なキャンペーンの一環である可能性が高いと発表しました。

技術的詳細

攻撃者は、Sangoma FreePBXに存在する未修正のコマンドインジェクションの脆弱性を悪用しています。FreePBXは、VoIP通信用のオープンソースPBX（構内交換機）プラットフォームとして広く利用されています。脅威アクターは、Webシェル—侵害されたシステムへの永続的なリモートアクセスを提供する悪意のあるスクリプト—を展開し、感染システムを制御し続けます。正確なCVE識別子は公表されていませんが、この脆弱性により攻撃者は影響を受けるインスタンス上で任意のコマンドを実行できます。

影響分析

FreePBXシステムの広範な侵害は、以下のような重大なリスクをもたらします：

• VoIP通信や機密性の高い通話データへの不正アクセス
• 侵害されたPBXインスタンスがホストされているネットワーク内でのラテラルムーブメント（横展開）
• ランサムウェアやデータ窃取ツールなど、さらなるマルウェアの展開の可能性
• VoIPサービスに依存する組織にとってのビジネス通信の混乱

感染の地理的分布から、全世界を対象としたキャンペーンであることが示唆され、特に北米とヨーロッパでの感染が顕著です。

セキュリティチーム向けの推奨事項

Sangoma FreePBXの導入を管理するセキュリティ専門家は、以下の対策を実施する必要があります：

1. 不審な活動を示すシステムを直ちに隔離し、調査する。
2. Sangomaから提供されている最新のセキュリティパッチを適用し、コマンドインジェクションの脆弱性を軽減する。
3. ClamAV、YARA、または専用のWebシェル検出スクリプトを使用して、Webシェルのスキャンを実施する。
4. 不正なコマンド実行やリモートアクセスの兆候がないか、アクセスログを確認する。
5. PBXシステムが侵害された場合にラテラルムーブメントを制限するため、厳格なネットワークセグメンテーションを実施する。
6. データ窃取やさらなる悪用の兆候がないか、異常なVoIPトラフィックを監視する。

FreePBXを使用している組織は、修正を優先的に行うべきです。未修正のシステムはサイバー犯罪者の格好の標的であり続けます。Shadowserver Foundationは引き続きこのキャンペーンを追跡し、影響を受けた組織にインシデントの報告を呼びかけています。