VOLTAR ÀS NOTÍCIAS
Última HoraBaixo

Mais de 900 Sistemas Sangoma FreePBX Ainda Infectados em Ataques com Web Shells

2 min de leituraFonte: The Hacker News

Pesquisadores identificam mais de 900 instâncias do Sangoma FreePBX comprometidas por web shells. Saiba como proteger sua infraestrutura VoIP.

Ataques Contínuos com Web Shells Miram Sistemas Sangoma FreePBX

A Shadowserver Foundation identificou mais de 900 instâncias do Sangoma FreePBX ainda infectadas com web shells, resultantes de ataques que exploram uma vulnerabilidade de injeção de comandos iniciados em dezembro de 2025. Dos sistemas comprometidos, 401 estão localizados nos EUA, seguidos por 51 no Brasil, 43 no Canadá, 40 na Alemanha e 36 na França. A organização sem fins lucrativos confirmou que esses comprometimentos fazem parte, provavelmente, de uma campanha sustentada.

Detalhes Técnicos

Os ataques exploram uma falha de injeção de comandos não corrigida no Sangoma FreePBX, uma plataforma PBX (Private Branch Exchange) de código aberto amplamente utilizada para comunicações VoIP. Os agentes de ameaças implantam web shells—scripts maliciosos que fornecem acesso remoto persistente—para manter o controle sobre os sistemas comprometidos. Embora o identificador exato do CVE não tenha sido divulgado, a vulnerabilidade permite que os atacantes executem comandos arbitrários nas instâncias afetadas.

Análise de Impacto

O comprometimento generalizado de sistemas FreePBX representa riscos significativos, incluindo:

  • Acesso não autorizado a comunicações VoIP e dados sensíveis de chamadas;
  • Movimentação lateral dentro de redes que hospedam as instâncias PBX comprometidas;
  • Potencial para implantação de malware adicional, incluindo ransomware ou ferramentas de exfiltração de dados;
  • Interrupção das comunicações empresariais, especialmente para organizações que dependem de serviços VoIP.

A distribuição geográfica das infecções sugere uma campanha globalmente direcionada, com uma concentração notável na América do Norte e Europa.

Recomendações para Equipes de Segurança

Profissionais de segurança que gerenciam implantações do Sangoma FreePBX devem:

  1. Isolar e investigar imediatamente quaisquer sistemas que apresentem atividade suspeita;
  2. Aplicar os patches de segurança mais recentes da Sangoma para mitigar a vulnerabilidade de injeção de comandos;
  3. Verificar a presença de web shells utilizando ferramentas como ClamAV, YARA ou scripts especializados de detecção de web shells;
  4. Revisar logs de acesso em busca de sinais de execução não autorizada de comandos ou acesso remoto;
  5. Impor segmentação rigorosa da rede para limitar a movimentação lateral caso um sistema PBX seja comprometido;
  6. Monitorar tráfego VoIP incomum que possa indicar exfiltração de dados ou exploração adicional.

Organizações que utilizam o FreePBX devem priorizar a remediação, uma vez que sistemas não corrigidos continuam sendo alvos principais para cibercriminosos. A Shadowserver Foundation continua monitorando a campanha e insta as entidades afetadas a relatarem incidentes para análise adicional.

Compartilhar

TwitterLinkedIn