900台Sangoma FreePBX系统遭Web Shell攻击：命令注入漏洞引发大规模入侵

大规模Web Shell攻击致900台Sangoma FreePBX系统沦陷

安全研究人员近期发现，900台Sangoma FreePBX系统遭到大规模攻击，攻击者通过利用平台Endpoint Manager接口中的后认证命令注入漏洞（post-authentication command injection vulnerability）成功植入Web Shell。此次事件凸显了VoIP及统一通信基础设施面临的持续安全风险。

漏洞技术细节

目前，该漏洞尚未被分配CVE编号。攻击者可在通过认证后，在易受攻击的FreePBX系统上执行任意命令。漏洞位于Endpoint Manager模块，该模块用于配置和管理VoIP终端设备。通过利用此漏洞，攻击者成功部署了Web Shell，从而获得对受感染系统的持久远程访问权限。

Sangoma FreePBX是一款开源**PBX（专用交换机）**平台，广泛应用于VoIP及统一通信领域。受影响的系统通常部署于企业环境中，使其成为威胁者寻求在企业网络中建立据点的高价值目标。

影响与风险

FreePBX系统上被植入Web Shell将带来严重安全风险，包括：

• 威胁者获得持久远程访问权限，可进一步在网络中横向移动；
• 数据泄露，包括通话记录、语音邮件及敏感通信内容；
• 二次攻击风险，如勒索软件部署或VoIP欺诈（如通话欺诈）；
• 相邻系统受损，尤其是当FreePBX服务器与其他企业应用集成时。

此次攻击波及900台系统，表明攻击者可能采用了自动化攻击手段，针对暴露或配置不当的FreePBX部署发起攻击。使用Sangoma FreePBX的组织应假设未修补系统面临即时被入侵的风险。

安全团队建议措施

1. 立即修补漏洞：应用Sangoma发布的最新安全更新，以缓解命令注入漏洞。若暂无补丁，建议禁用Endpoint Manager模块直至修复程序发布。
2. 隔离与遏制：将受影响的FreePBX实例与网络隔离，防止进一步利用或横向移动。
3. 取证分析：全面调查入侵范围，包括检查Web目录中是否存在Web Shell（如.php、.jsp或.asp文件），并审查日志以发现未经授权的访问。
4. 凭证轮换：重置所有与FreePBX相关的凭证，包括管理员账户、SIP凭证及数据库密码。
5. 网络分段：确保FreePBX系统与其他关键网络资产隔离，限制潜在入侵的影响范围。
6. 监控与检测：部署**入侵检测/防御系统（IDS/IPS）及终端检测与响应（EDR）**解决方案，监测异常活动，如可疑命令执行或出站连接。

总结

此次事件凸显了保护VoIP及统一通信基础设施安全的重要性，而这类基础设施在企业安全策略中常被忽视。使用Sangoma FreePBX的组织必须优先修补漏洞、加强监控并采取强化措施，以降低此类漏洞带来的风险。安全团队应将暴露的FreePBX实例视为高风险资产，并采取主动措施防止被利用。