概要

The Shadowserver Foundationは、2025年12月から続く攻撃で、ウェブシェルを介して900以上のSangoma FreePBXインスタンスが侵害されていることを明らかにしました。

影響範囲

これらの侵害されたインスタンスのうち、401件は米国に所在し、次いでブラジル51件、カナダ43件、ドイツ40件、フランス36件となっています。

脆弱性詳細

The Shadowserver Foundationによると、これらの侵害はCVE-2025-64328（CVSSスコア：8.6）という高危険度のセキュリティ脆弱性を悪用することで達成された可能性が高いとされています。

影響

Sangoma FreePBXは、この脆弱性について11月に警告し、「FreePBX管理パネルへのアクセス権を持つユーザーが任意のシェルコマンドを実行できる」と述べています。また「攻撃者はこの脆弱性を利用してasteriskユーザーとしてシステムへのリモートアクセスを取得することができる」とも警告しています。

対策

• セキュリティ制御の追加により、FreePBX管理パネル（ACP）へのアクセス権限を持つユーザーのみが認証されたユーザーであることを確認する。
• AACPへのアクセスを敵意のあるネットワークから制限する。
• ファイルストアモジュールを最新のバージョンに更新する。

対策状況

CVE-2025-64328は、実際の攻撃で積極的に悪用されており、米国のサイバーセキュリティとインフラセキュリティ庁（CISA）が先月この脆弱性を「既知の侵害された脆弱性」カタログに追加しました。

推奨事項

Sangoma FreePBXユーザーは、可能な限り速やかにFreePBXデプロイメントを最新バージョンに更新することをお勧めします。

---

元記事: https://thehackernews.com/2026/02/900-sangoma-freepbx-instances.html