900여 대 이상의 Sangoma FreePBX 시스템, 웹 셸 공격으로 여전히 감염 상태

지속적인 웹 셸 공격, Sangoma FreePBX 시스템 표적

Shadowserver Foundation은 2025년 12월부터 시작된 **명령 주입 취약점(command injection vulnerability)**을 악용한 공격으로 인해 900대 이상의 Sangoma FreePBX 시스템이 여전히 웹 셸에 감염된 상태임을 확인했습니다. 감염된 시스템 중 401대는 미국에 위치해 있으며, 그 다음으로 브라질(51대), 캐나다(43대), 독일(40대), 프랑스(36대) 순으로 나타났습니다. 이 비영리 단체는 이러한 침해 사고가 지속적인 공격 캠페인의 일환으로 추정된다고 밝혔습니다.

기술적 세부 사항

이 공격은 VoIP 통신을 위한 오픈소스 PBX(Private Branch Exchange) 플랫폼인 Sangoma FreePBX의 패치되지 않은 명령 주입 취약점을 악용합니다. 위협 행위자들은 웹 셸(web shells)—지속적인 원격 접근을 제공하는 악성 스크립트—을 배포하여 손상된 시스템을 장악합니다. 정확한 CVE 식별자는 아직 공개되지 않았지만, 이 취약점을 통해 공격자는 영향을 받은 시스템에서 임의의 명령을 실행할 수 있습니다.

영향 분석

FreePBX 시스템의 광범위한 침해는 다음과 같은 심각한 위험을 초래합니다:

• VoIP 통신 및 민감한 통화 데이터에 대한 무단 접근
• 손상된 PBX 인스턴스가 호스팅된 네트워크 내 횡적 이동(lateral movement)
• 랜섬웨어 또는 데이터 유출 도구를 포함한 추가 악성코드 배포 가능성
• 특히 VoIP 서비스에 의존하는 조직의 비즈니스 통신 중단

감염된 시스템의 지리적 분포는 글로벌 표적 공격 캠페인임을 시사하며, 북미와 유럽에 특히 많은 감염 사례가 집중되어 있습니다.

보안 팀을 위한 권고 사항

Sangoma FreePBX 배포를 관리하는 보안 전문가들은 다음과 같은 조치를 취해야 합니다:

1. 의심스러운 활동을 보이는 시스템을 즉시 격리 및 조사합니다.
2. Sangoma에서 제공하는 최신 보안 패치를 적용하여 명령 주입 취약점을 완화합니다.
3. ClamAV, YARA 또는 전문 웹 셸 탐지 스크립트를 사용하여 웹 셸을 검색합니다.
4. 무단 명령 실행 또는 원격 접근의 징후가 있는지 접근 로그를 검토합니다.
5. PBX 시스템이 침해될 경우 횡적 이동을 제한하기 위해 엄격한 네트워크 세분화를 시행합니다.
6. 데이터 유출 또는 추가 악용을 나타낼 수 있는 이상한 VoIP 트래픽을 모니터링합니다.

FreePBX를 사용하는 조직은 패치되지 않은 시스템이 사이버 범죄자의 주요 표적으로 남아 있으므로 신속한 조치를 우선시해야 합니다. Shadowserver Foundation은 이 캠페인을 계속 추적하며, 영향을 받은 기관이 사고를 보고하여 추가 분석을 진행할 것을 권장합니다.