НАЗАД К НОВОСТЯМ
Срочные новостиНизкий

Более 900 систем Sangoma FreePBX всё ещё заражены веб-шеллами в ходе атак

2 мин чтенияИсточник: The Hacker News

Эксперты Shadowserver обнаружили более 900 уязвимых систем Sangoma FreePBX с веб-шеллами. Узнайте, как защититься от атак.

Продолжающиеся атаки с использованием веб-шеллов на системы Sangoma FreePBX

Фонд Shadowserver выявил более 900 экземпляров Sangoma FreePBX, всё ещё заражённых веб-шеллами в результате атак, эксплуатирующих уязвимость внедрения команд, начавшихся в декабре 2025 года. Среди скомпрометированных систем 401 расположена в США, далее следуют 51 в Бразилии, 43 в Канаде, 40 в Германии и 36 во Франции. Некоммерческая организация подтвердила, что эти компрометации, вероятно, являются частью длительной кампании.

Технические детали

Атаки эксплуатируют неустранённую уязвимость внедрения команд в Sangoma FreePBX — широко используемой платформе с открытым исходным кодом для IP-телефонии (PBX, Private Branch Exchange). Злоумышленники внедряют веб-шеллы — вредоносные скрипты, обеспечивающие постоянный удалённый доступ, — чтобы сохранить контроль над скомпрометированными системами. Хотя точный идентификатор CVE не раскрыт, уязвимость позволяет атакующим выполнять произвольные команды на уязвимых экземплярах.

Анализ последствий

Массовое компрометация систем FreePBX несёт значительные риски, включая:

  • Несанкционированный доступ к VoIP-коммуникациям и конфиденциальным данным вызовов;
  • Латеральное перемещение в сетях, где размещены скомпрометированные PBX-системы;
  • Возможность дальнейшего развёртывания вредоносного ПО, включая программы-вымогатели или инструменты для эксфильтрации данных;
  • Нарушение бизнес-коммуникаций, особенно для организаций, полагающихся на VoIP-услуги.

Географическое распределение заражений указывает на глобально направленную кампанию, с заметной концентрацией в Северной Америке и Европе.

Рекомендации для ИБ-команд

Специалистам по информационной безопасности, управляющим развёртываниями Sangoma FreePBX, следует:

  1. Немедленно изолировать и провести расследование любых систем с подозрительной активностью.
  2. Установить последние исправления безопасности от Sangoma для устранения уязвимости внедрения команд.
  3. Выполнить сканирование на наличие веб-шеллов с помощью инструментов, таких как ClamAV, YARA или специализированные скрипты для обнаружения веб-шеллов.
  4. Проверить журналы доступа на признаки несанкционированного выполнения команд или удалённого доступа.
  5. Обеспечить строгую сегментацию сети, чтобы ограничить латеральное перемещение в случае компрометации PBX-системы.
  6. Мониторить необычный VoIP-трафик, который может указывать на эксфильтрацию данных или дальнейшую эксплуатацию.

Организациям, использующим FreePBX, следует уделить первоочередное внимание устранению уязвимостей, так как незащищённые системы остаются основными целями для киберпреступников. Фонд Shadowserver продолжает отслеживать кампанию и призывает пострадавшие стороны сообщать о инцидентах для дальнейшего анализа.

Поделиться

TwitterLinkedIn