Plus de 900 instances Sangoma FreePBX compromises par des attaques de web shells

<p>La Shadowserver Foundation a révélé que plus de 900 instances de Sangoma FreePBX restent compromises par des web shells, suite à une série d'attaques ayant débuté en décembre 2025. Ces attaques ont exploité une vulnérabilité d'injection de commandes non spécifiée dans la source, permettant aux attaquants d'installer des web shells pour un accès persistant et le contrôle à distance des systèmes affectés.</p>
<p>La distribution géographique des instances compromises est préoccupante, avec 401 aux États-Unis, 51 au Brésil, 43 au Canada, 40 en Allemagne et 36 en France, soulignant l'ampleur mondiale de cette menace. La persistance de ces infections indique que de nombreuses organisations n'ont pas encore détecté ou remédié à la compromission, ou n'ont pas appliqué les correctifs nécessaires.</p>
<p><strong>Impact et Risques :</strong></p>
<ul>
<li><strong>Accès persistant :</strong> Les web shells offrent aux attaquants un accès continu aux systèmes compromis.</li>
<li><strong>Exécution de commandes à distance :</strong> Possibilité d'exécuter des commandes arbitraires, de voler des données, d'installer d'autres malwares ou de lancer d'autres attaques.</li>
<li><strong>Perte de données et d'intégrité :</strong> Risque de manipulation ou de destruction de données critiques.</li>
<li><strong>Interruption de service :</strong> Les systèmes FreePBX étant souvent utilisés pour la téléphonie VoIP, leur compromission peut entraîner des interruptions de communication.</li>
</ul>
<p><strong>Recommandations pour la protection :</strong></p>
<ul>
<li><strong>Mise à jour immédiate :</strong> Appliquer tous les correctifs de sécurité disponibles pour Sangoma FreePBX sans délai afin de corriger la vulnérabilité d'injection de commandes.</li>
<li><strong>Détection et Éradication :</strong> Effectuer des analyses approfondies pour détecter la présence de web shells ou d'autres indicateurs de compromission (IOCs). Supprimer tout fichier suspect et restaurer les systèmes à partir de sauvegardes propres si nécessaire.</li>
<li><strong>Renforcement de la sécurité :</strong> Mettre en œuvre des politiques de mots de passe forts, activer l'authentification multi-facteurs (MFA) pour tous les accès administratifs.</li>
<li><strong>Surveillance :</strong> Surveiller activement les journaux système et réseau pour détecter toute activité anormale ou non autorisée.</li>
<li><strong>Segmentation réseau :</strong> Isoler les systèmes FreePBX dans des segments réseau dédiés pour limiter la propagation en cas de compromission.</li>
</ul>
<p>Cette situation met en lumière l'importance cruciale de la gestion proactive des vulnérabilités et de la réponse rapide aux incidents pour protéger les infrastructures critiques contre les menaces persistantes.</p>