900台超のSangoma FreePBXがWebシェル攻撃で侵害——CVE-2025-64328の深刻な影響と対策

雑記

Shadowserver Foundationの調査により、900台を超えるSangoma FreePBXインスタンスがWebシェルに感染した状態のまま稼働していることが明らかになった。2025年12月から始まったこの攻撃は、コマンドインジェクション脆弱性(CVE-2025-64328)を悪用したもので、PBXシステムを運用する組織にとって深刻なセキュリティリスクとなっている。

この記事のポイント

  • Sangoma FreePBXの脆弱性CVE-2025-64328(CVSSスコア8.6)が積極的に悪用されている
  • 900台超のインスタンスがWebシェルに感染、うち401台が米国に集中
  • CISAが「既知の悪用済み脆弱性カタログ(KEV)」に追加し、対応を呼びかけている

脆弱性の詳細と影響範囲

今回悪用されている脆弱性は CVE-2025-64328 で、CVSSスコアは 8.6(高深刻度) と評価されている。これは認証済みユーザーによるコマンドインジェクションを可能にする脆弱性であり、FreePBX管理パネルにアクセスできるユーザーであれば誰でも、ホストOS上で任意のシェルコマンドを実行できてしまう。攻撃者はこの脆弱性を通じて、asteriskユーザーとしてリモートアクセスを取得する。

影響を受けるバージョンは FreePBX 17.0.2.36以降 で、修正版は 17.0.3 としてリリースされている。FreePBXはオープンソースのIP-PBXシステムとして広く利用されており、企業の電話システムやコールセンター基盤として世界中で導入されていることから、攻撃の影響は非常に広範囲に及ぶ可能性がある。

攻撃の手法と地理的分布

攻撃を実行している脅威アクターは INJ3CTOR3 というコードネームで追跡されており、2025年12月初旬からこの脆弱性の悪用を開始している。彼らは EncystPHP Webシェル を展開し、ElastixおよびFreePBXの管理コンテキスト内で昇格された権限を持つ状態で動作させている。

このWebシェルにより、攻撃者は以下のことが可能になる:

  • 感染したサーバー上での任意コマンド実行
  • PBXシステムを利用した外部発信(通話詐欺やフィッシング音声の自動発信など)
  • サーバーを踏み台とした他システムへの横展開

地理的な分布を見ると、感染インスタンスの大半が米国(401台)に集中しており、続いてブラジル(51台)、カナダ(43台)、ドイツ(40台)、フランス(36台)と続く。日本での被害は報告されていないが、FreePBXを利用している組織は早急に確認が必要である。

推奨される対策

FreePBXを運用している組織は、以下の対策を速やかに実施することが推奨される:

  1. 即座にFreePBXを17.0.3以降にアップグレードする — これが最も重要な対策である
  2. filestoreモジュールを最新バージョンに更新する — 関連する修正が含まれている
  3. 管理コントロールパネル(ACP)へのアクセスを制限する — 認可されたユーザーのみがアクセスできるようにする
  4. 敵対的ネットワークからのACPアクセスをブロックする — ファイアウォールやACLで保護する

また、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は今月、CVE-2025-64328を 既知の悪用済み脆弱性カタログ(KEV) に追加しており、連邦機関には修正が義務付けられている。民間組織においても、この追加は脅威の深刻さを示す重要な指標として受け止めるべきである。

知っておくと便利なTips

  • FreePBXの管理パネルはインターネットに直接公開せず、VPNやIPアドレス制限を通じてアクセスするのがベストプラクティス
  • Webシェルの感染有無を確認するには、サーバー上の不審なPHPファイル(特に最近作成・変更されたもの)を調査することが有効
  • Shadowserver Foundationのスキャンレポートを定期的にチェックすることで、自組織のシステムが外部から侵害状態として観測されていないか確認できる

まとめ

今回のSangoma FreePBXへの大規模Webシェル攻撃は、パッチ適用の遅れがいかに深刻な結果を招くかを如実に示している。CVE-2025-64328は認証後の脆弱性であるが、管理パネルが外部に露出していたり、弱いパスワードが使われていた場合、容易に悪用される。900台超のインスタンスが依然として感染状態にあるという事実は、多くの組織がセキュリティアップデートを適用していないことを意味する。FreePBXを利用している場合は、直ちにバージョン確認とアップグレードを実施し、管理パネルのアクセス制御を見直すことが急務である。PBXシステムの侵害は、通話詐欺や機密通話の盗聴といった二次被害にもつながりかねない。

📎 元記事: https://thehackernews.com/2026/02/900-sangoma-freepbx-instances.html

コメント

タイトルとURLをコピーしました