逾900台Sangoma FreePBX系统仍遭Web Shell攻击感染

持续Web Shell攻击针对Sangoma FreePBX系统

Shadowserver基金会发现，超过900台Sangoma FreePBX实例仍受Web Shell攻击感染，这些攻击源于2025年12月开始利用的命令注入漏洞。在被感染的系统中，401台位于美国，其次是巴西（51台）、加拿大（43台）、德国（40台）和法国（36台）。该非营利组织确认，这些入侵事件可能属于一场持续的攻击活动。

技术细节

攻击者利用了Sangoma FreePBX（一种广泛使用的开源PBX（专用交换分机）平台，用于VoIP通信）中一个未修补的命令注入漏洞。威胁行为者部署了Web Shell——一种提供持久远程访问权限的恶意脚本——以维持对被入侵系统的控制。虽然尚未披露具体的CVE编号，但该漏洞允许攻击者在受影响的实例上执行任意命令。

影响分析

FreePBX系统的大规模入侵带来了严重风险，包括：

• 未经授权访问VoIP通信及敏感通话数据
• 在托管被入侵PBX实例的网络中进行横向移动
• 进一步部署恶意软件的可能性，包括勒索软件或数据窃取工具
• 业务通信中断，尤其是依赖VoIP服务的组织

感染的地理分布表明这是一场全球性针对性攻击，北美和欧洲的感染数量尤为集中。

安全团队建议

管理Sangoma FreePBX部署的安全专业人员应采取以下措施：

1. 立即隔离并调查任何表现出可疑活动的系统。
2. 应用Sangoma发布的最新安全补丁，以缓解命令注入漏洞。
3. 使用ClamAV、YARA或专用Web Shell检测脚本扫描Web Shell。
4. 审查访问日志，查找未经授权的命令执行或远程访问迹象。
5. 实施严格的网络分段，以限制PBX系统被入侵后的横向移动。
6. 监控异常VoIP流量，这些流量可能表明数据窃取或进一步的利用行为。

使用FreePBX的组织应优先进行修复，因为未修补的系统仍是网络犯罪分子的主要目标。Shadowserver基金会正在持续跟踪此次攻击活动，并呼吁受影响的实体报告事件以进行进一步分析。