Sangoma FreePBX 900대 시스템, 명령 주입 취약점으로 웹 셸 감염 위기

대규모 웹 셸 공격으로 침해된 Sangoma FreePBX 시스템

보안 연구원들은 Sangoma FreePBX 900대 이상의 인스턴스가 플랫폼의 Endpoint Manager 인터페이스에 존재하는 인증 후 명령 주입 취약점을 악용해 웹 셸에 감염되었다고 밝혔습니다. 이번 공격은 VoIP 및 통합 커뮤니케이션 인프라와 관련된 지속적인 보안 위험을 강조합니다.

취약점의 기술적 세부 사항

현재 CVE ID가 할당되지 않은 이 취약점은 공격자가 취약한 FreePBX 시스템에 인증 후 임의 명령을 실행할 수 있도록 허용합니다. 이 결함은 VoIP 엔드포인트를 구성하고 관리하는 데 사용되는 Endpoint Manager 모듈에 존재합니다. 공격자들은 이 취약점을 악용해 웹 셸을 배포했으며, 이를 통해 감염된 시스템에 지속적인 원격 접근 권한을 확보했습니다.

Sangoma FreePBX는 VoIP 및 통합 커뮤니케이션에 널리 사용되는 오픈소스 PBX(Private Branch Exchange) 플랫폼입니다. 영향을 받은 시스템은 주로 기업 환경에 배포되어 있어, 공격자들이 기업 네트워크에 침투하기 위한 고가치 표적으로 여겨집니다.

영향 및 위험성

FreePBX 인스턴스에 웹 셸이 배포되면 다음과 같은 심각한 위험이 발생할 수 있습니다:

• 공격자에게 지속적인 원격 접근 권한을 제공하여 네트워크 내에서 **횡적 이동(lateral movement)**을 가능하게 합니다.
• 통화 기록, 음성 메시지, 민감한 통신 데이터 등 데이터 유출 위험이 있습니다.
• 랜섬웨어 배포나 **VoIP 사기(예: 톨 프라우드)**와 같은 2차 공격의 가능성.
• FreePBX 서버가 다른 기업 애플리케이션과 통합된 경우 인접 시스템의 침해 위험.

900대 이상의 시스템이 감염된 이번 사태는 노출되거나 잘못 구성된 FreePBX 배포를 대상으로 한 자동화된 공격일 가능성이 높습니다. Sangoma FreePBX를 사용하는 조직은 패치가 적용되지 않은 시스템이 즉각적인 침해 위험에 노출되어 있다고 가정해야 합니다.

보안 팀을 위한 권고 사항

1. 즉각적인 패치 적용: Sangoma에서 제공하는 최신 보안 업데이트를 적용해 명령 주입 취약점을 완화하세요. 패치가 제공되지 않은 경우, 수정 사항이 배포될 때까지 Endpoint Manager 모듈을 비활성화하는 것을 고려하세요.
2. 격리 및 containment: 추가적인 악용이나 횡적 이동을 방지하기 위해 영향을 받은 FreePBX 인스턴스를 네트워크에서 격리하세요.
3. 포렌식 분석: 웹 디렉토리 내 웹 셸(예: .php, .jsp, .asp 파일) 존재 여부를 확인하고, 무단 접근 기록을 검토하는 등 침해 범위를 파악하기 위한 철저한 조사를 수행하세요.
4. 자격 증명 교체: FreePBX와 관련된 모든 자격 증명(관리자 계정, SIP 자격 증명, 데이터베이스 비밀번호 등)을 재설정하세요.
5. 네트워크 세분화: FreePBX 시스템이 다른 중요 네트워크 자산과 분리되도록 하여 잠재적인 침해 영향을 제한하세요.
6. 모니터링 및 탐지: 침입 탐지/방지 시스템(IDS/IPS) 및 엔드포인트 탐지 및 대응(EDR) 솔루션을 배포해 비정상적인 명령 실행이나 아웃바운드 연결과 같은 이상 징후를 탐지하세요.

결론

이번 사건은 기업 보안 전략에서 종종 간과되는 VoIP 및 통합 커뮤니케이션 인프라의 보안 강화가 얼마나 중요한지를 보여줍니다. Sangoma FreePBX를 사용하는 조직은 패치 적용, 모니터링, 시스템 강화 등을 우선적으로 수행해 이와 유사한 취약점으로 인한 위험을 완화해야 합니다. 보안 팀은 노출된 FreePBX 인스턴스를 고위험 자산으로 간주하고, 악용을 방지하기 위한 사전 조치를 취해야 합니다.