Sangoma FreePBXシステム900台がコマンドインジェクション脆弱性を悪用したWebシェル感染の被害
Sangoma FreePBXシステム900台が、Endpoint Managerの認証後コマンドインジェクション脆弱性を悪用したWebシェル攻撃により侵害されました。VoIPインフラのセキュリティ対策強化が急務です。
大規模Webシェル攻撃によりSangoma FreePBXシステムが侵害される
セキュリティ研究者らは、900台のSangoma FreePBXインスタンスが、Endpoint Managerインターフェースの認証後コマンドインジェクション脆弱性を悪用したWebシェル攻撃により侵害されたことを確認しました。この攻撃は、VoIPおよび統合コミュニケーションインフラに関連する継続的なリスクを浮き彫りにしています。
脆弱性の技術的詳細
現在、CVE IDが割り当てられていないこの脆弱性は、脅威アクターがFreePBXシステムに認証後に任意のコマンドを実行できるものです。この欠陥は、VoIPエンドポイントの設定・管理に使用されるEndpoint Managerモジュールに存在します。攻撃者はこの脆弱性を悪用し、Webシェルを展開することに成功し、侵害されたシステムへの持続的なリモートアクセスを確立しました。
Sangoma FreePBXは、VoIPおよび統合コミュニケーションに広く利用されているオープンソースの**PBX(Private Branch Exchange)**プラットフォームです。影響を受けたシステムは通常、企業環境に導入されており、脅威アクターにとって企業ネットワーク内に足場を築くための高価値な標的となっています。
影響とリスク
FreePBXインスタンスへのWebシェルの展開は、以下のような重大なリスクをもたらします。
- 脅威アクターによる持続的なリモートアクセスの確立。これにより、ネットワーク内でのさらなるラテラルムーブメントが可能となります。
- 通話履歴、ボイスメール録音、機密通信などのデータ流出。
- **ランサムウェアの展開やVoIP詐欺(例:通話料詐欺)**などの二次攻撃のリスク。
- FreePBXサーバーが他の企業アプリケーションと統合されている場合、隣接システムの侵害の可能性。
900台という感染規模は、自動化された攻撃が行われていることを示唆しており、公開されているか、または設定ミスのあるFreePBXのデプロイメントが標的となっている可能性が高いです。Sangoma FreePBXを使用している組織は、未パッチのシステムが直ちに侵害されるリスクがあると認識すべきです。
セキュリティチーム向け推奨対策
-
即時パッチ適用:Sangomaから提供される最新のセキュリティアップデートを適用し、コマンドインジェクションの脆弱性を緩和してください。パッチが提供されていない場合は、修正プログラムがリリースされるまでEndpoint Managerモジュールを無効化することを検討してください。
-
隔離と封じ込め:さらなる攻撃やラテラルムーブメントを防ぐため、影響を受けたFreePBXインスタンスをネットワークから隔離してください。
-
フォレンジック分析:Webシェル(例:Webディレクトリ内の
.php、.jsp、.aspファイル)の有無を確認し、不正アクセスのログを精査するなど、侵害の範囲を特定するための徹底的な調査を実施してください。 -
認証情報のローテーション:FreePBXに関連するすべての認証情報(管理者アカウント、SIP認証情報、データベースパスワードなど)をリセットしてください。
-
ネットワークセグメンテーション:FreePBXシステムが他の重要なネットワーク資産から分離されていることを確認し、潜在的な侵害の影響を制限してください。
-
監視と検知:**侵入検知/防御システム(IDS/IPS)やエンドポイント検知対応(EDR)**ソリューションを導入し、不審なコマンド実行やアウトバウンド接続などの異常な活動を検知してください。
結論
この事件は、企業のセキュリティ戦略において見過ごされがちなVoIPおよび統合コミュニケーションインフラのセキュリティ強化の重要性を強調しています。Sangoma FreePBXを使用している組織は、パッチ適用、監視、およびシステムの強化を優先し、この脆弱性や同様の脅威によるリスクを軽減する必要があります。セキュリティチームは、公開されているFreePBXインスタンスを高リスク資産として扱い、侵害を防ぐための積極的な対策を講じるべきです。