Массовое заражение 900 систем Sangoma FreePBX веб-шеллами через уязвимость командной инъекции

Массовое компрометация систем Sangoma FreePBX через атаки с использованием веб-шеллов

Эксперты по кибербезопасности выявили масштабное заражение 900 экземпляров Sangoma FreePBX, которые были скомпрометированы веб-шеллами в результате эксплуатации уязвимости командной инъекции после аутентификации в интерфейсе Endpoint Manager платформы. Эти атаки подчеркивают постоянные риски, связанные с инфраструктурой VoIP и унифицированных коммуникаций.

Технические детали уязвимости

Уязвимость, которая на момент публикации не имеет присвоенного CVE ID, позволяет злоумышленникам выполнять произвольные команды на уязвимых системах FreePBX после аутентификации. Уязвимость содержится в модуле Endpoint Manager, который используется для настройки и управления VoIP-терминалами. Эксплуатируя эту слабость, атакующие успешно внедрили веб-шеллы, получив постоянный удаленный доступ к скомпрометированным системам.

Sangoma FreePBX — это платформа с открытым исходным кодом для PBX (Private Branch Exchange), широко используемая для VoIP и унифицированных коммуникаций. Пострадавшие системы обычно развертываются в корпоративных средах, что делает их ценными целями для злоумышленников, стремящихся закрепиться в корпоративных сетях.

Последствия и риски

Внедрение веб-шеллов на экземпляры FreePBX создает значительные угрозы, включая:

• Постоянный удаленный доступ для злоумышленников, что позволяет им перемещаться по сети.
• Эксфильтрацию данных, включая журналы вызовов, записи голосовой почты и конфиденциальные коммуникации.
• Возможность вторичных атак, таких как развертывание программ-вымогателей или мошенничество в сфере VoIP (например, мошенничество с оплатой звонков).
• Компрометацию смежных систем, особенно если серверы FreePBX интегрированы с другими корпоративными приложениями.

Масштаб заражения — 900 экземпляров — указывает на автоматизированную эксплуатацию, вероятно, направленную на незащищенные или неправильно настроенные развертывания FreePBX. Организациям, использующим Sangoma FreePBX, следует исходить из того, что неисправленные системы подвержены немедленному риску компрометации.

Рекомендации для служб безопасности

1. Немедленное обновление: Установите последние исправления безопасности от Sangoma для устранения уязвимости командной инъекции. Если патч недоступен, рассмотрите возможность отключения модуля Endpoint Manager до выпуска исправления.
2. Изоляция и локализация: Изолируйте пораженные экземпляры FreePBX от сети, чтобы предотвратить дальнейшую эксплуатацию или перемещение по сети.
3. Криминалистический анализ: Проведите тщательное расследование для определения масштаба компрометации, включая проверку на наличие веб-шеллов (например, файлов .php, .jsp или .asp в веб-каталогах) и анализ журналов на предмет несанкционированного доступа.
4. Смена учетных данных: Сбросьте все учетные данные, связанные с FreePBX, включая административные аккаунты, учетные данные SIP и пароли баз данных.
5. Сегментация сети: Убедитесь, что системы FreePBX отделены от других критически важных сетевых активов, чтобы ограничить последствия потенциальных взломов.
6. Мониторинг и обнаружение: Разверните системы обнаружения/предотвращения вторжений (IDS/IPS) и решения для обнаружения и реагирования на конечных точках (EDR), чтобы выявлять аномальную активность, такую как необычное выполнение команд или исходящие соединения.

Заключение

Этот инцидент подчеркивает критическую важность защиты инфраструктуры VoIP и унифицированных коммуникаций, которая часто остается без должного внимания в корпоративных стратегиях кибербезопасности. Организациям, использующим Sangoma FreePBX, необходимо уделить первоочередное внимание обновлению, мониторингу и укреплению систем для снижения рисков, связанных с этой и подобными уязвимостями. Службам безопасности следует рассматривать незащищенные экземпляры FreePBX как активы высокого риска и внедрять проактивные меры для предотвращения эксплуатации.