900多个Sangoma FreePBX实例遭Web Shell攻击感染

Shadowserver基金会披露，超过900个Sangoma FreePBX实例仍然感染着Web Shell，这些攻击始于2024年12月，利用了一个命令注入漏洞。

受感染实例的地理分布情况

在这些受感染的实例中，401个位于美国，其次是巴西51个、加拿大43个、德国40个、法国36个。

这家非营利组织表示，这些入侵很可能是通过利用CVE-2025-64328（CVSS评分：8.6）实现的，这是一个高危安全漏洞，可能导致认证后命令注入。

CVE-2025-64328漏洞详情

"该漏洞的影响是，任何能够访问FreePBX管理面板的用户都可以利用此漏洞在底层主机上执行任意shell命令，"FreePBX在2024年11月的安全公告中说道。"攻击者可以利用此漏洞以asterisk用户身份获得系统的远程访问权限。"

该漏洞影响FreePBX 17.0.2.36及更高版本，已在17.0.3版本中得到修复。作为缓解措施，建议添加安全控制措施，确保只有授权用户才能访问FreePBX管理员控制面板(ACP)，限制恶意网络对ACP的访问，并将filestore模块更新到最新版本。

攻击活动和威胁情报

该漏洞已在野外遭到积极利用，促使美国网络安全和基础设施安全局(CISA)在本月早些时候将其添加到已知被利用漏洞(KEV)目录中。

在上个月发布的一份报告中，Fortinet FortiGuard实验室披露，代号为INJ3CTOR3的网络欺诈行动背后的威胁行为者自2024年12月初开始利用CVE-2025-64328，投放名为EncystPHP的Web Shell。

"通过利用Elastix和FreePBX管理上下文，该Web Shell以提升的权限运行，能够在受损主机上执行任意命令，并通过PBX环境发起出站呼叫活动，"这家网络安全公司指出。

安全建议

建议FreePBX用户尽快将其FreePBX部署更新到最新版本，以应对当前的活跃威胁。

Q&A

Q1：CVE-2025-64328漏洞有什么危害？

A：CVE-2025-64328是一个高危安全漏洞，CVSS评分为8.6。该漏洞可能导致认证后命令注入，任何能够访问FreePBX管理面板的用户都可以利用此漏洞在底层主机上执行任意shell命令，攻击者可以利用此漏洞以asterisk用户身份获得系统的远程访问权限。

Q2：哪些FreePBX版本受到影响？

A：该漏洞影响FreePBX 17.0.2.36及更高版本。漏洞已在17.0.3版本中得到修复，建议用户尽快将FreePBX部署更新到最新版本以应对当前的活跃威胁。

Q3：如何防护FreePBX免受此类攻击？

A：建议采取以下缓解措施：添加安全控制措施确保只有授权用户才能访问FreePBX管理员控制面板，限制恶意网络对管理面板的访问，将filestore模块更新到最新版本，并尽快更新FreePBX到最新版本。