Shadowserver基金会披露,超过900个Sangoma FreePBX实例仍然感染着Web Shell,这些攻击始于2024年12月,利用了一个命令注入漏洞。
受感染实例的地理分布情况
在这些受感染的实例中,401个位于美国,其次是巴西51个、加拿大43个、德国40个、法国36个。
这家非营利组织表示,这些入侵很可能是通过利用CVE-2025-64328(CVSS评分:8.6)实现的,这是一个高危安全漏洞,可能导致认证后命令注入。
CVE-2025-64328漏洞详情
"该漏洞的影响是,任何能够访问FreePBX管理面板的用户都可以利用此漏洞在底层主机上执行任意shell命令,"FreePBX在2024年11月的安全公告中说道。"攻击者可以利用此漏洞以asterisk用户身份获得系统的远程访问权限。"
该漏洞影响FreePBX 17.0.2.36及更高版本,已在17.0.3版本中得到修复。作为缓解措施,建议添加安全控制措施,确保只有授权用户才能访问FreePBX管理员控制面板(ACP),限制恶意网络对ACP的访问,并将filestore模块更新到最新版本。
攻击活动和威胁情报
该漏洞已在野外遭到积极利用,促使美国网络安全和基础设施安全局(CISA)在本月早些时候将其添加到已知被利用漏洞(KEV)目录中。
在上个月发布的一份报告中,Fortinet FortiGuard实验室披露,代号为INJ3CTOR3的网络欺诈行动背后的威胁行为者自2024年12月初开始利用CVE-2025-64328,投放名为EncystPHP的Web Shell。
"通过利用Elastix和FreePBX管理上下文,该Web Shell以提升的权限运行,能够在受损主机上执行任意命令,并通过PBX环境发起出站呼叫活动,"这家网络安全公司指出。
安全建议
建议FreePBX用户尽快将其FreePBX部署更新到最新版本,以应对当前的活跃威胁。
Q&A
Q1:CVE-2025-64328漏洞有什么危害?
A:CVE-2025-64328是一个高危安全漏洞,CVSS评分为8.6。该漏洞可能导致认证后命令注入,任何能够访问FreePBX管理面板的用户都可以利用此漏洞在底层主机上执行任意shell命令,攻击者可以利用此漏洞以asterisk用户身份获得系统的远程访问权限。
Q2:哪些FreePBX版本受到影响?
A:该漏洞影响FreePBX 17.0.2.36及更高版本。漏洞已在17.0.3版本中得到修复,建议用户尽快将FreePBX部署更新到最新版本以应对当前的活跃威胁。
Q3:如何防护FreePBX免受此类攻击?
A:建议采取以下缓解措施:添加安全控制措施确保只有授权用户才能访问FreePBX管理员控制面板,限制恶意网络对管理面板的访问,将filestore模块更新到最新版本,并尽快更新FreePBX到最新版本。
热门跟贴