(问题) 近期——安全监测机构披露——全球超过900个Sangoma FreePBX实例仍残留Web Shell后门,表明部分受害系统虽已暴露风险但未完成处置或修复;统计信息显示,受影响实例多国分布,其中美国数量居前,随后为巴西、加拿大、德国、法国等。FreePBX作为广泛部署的开源PBX语音通信管理平台,常用于企业呼叫中心、分支机构电话系统与统一通信环境,一旦遭入侵,影响往往不止于信息系统本身,还可能延伸至业务通话与对外联络链路。 (原因) 多方情报认为,此轮入侵与CVE-2025-64328漏洞的利用高度涉及的。该漏洞被评定为高危,特点是“认证后命令注入”:一旦攻击者获取或滥用管理面板访问权限,即可能在底层主机执行任意Shell命令,并以asterisk用户身份实现远程操作。业内分析指出,这类漏洞之所以危害突出,关键在于三点:其一,管理面板一旦暴露于公网或缺乏访问限制,攻击面被显著放大;其二,部分部署场景中存在弱口令、共享账户或权限配置不当,导致“已认证”门槛被降低;其三,语音系统常年稳定运行、更新频率偏低,补丁应用滞后容易形成“长期存量风险”。 (影响) 植入Web Shell意味着攻击者可在受控主机上持续驻留,除窃取配置与凭据外,还可能横向移动至同网段其他服务器,扩大到邮件、目录服务或计费系统等关键资产。更值得警惕的是,研究机构在相关报告中提到,攻击者可借助PBX环境发起对外呼叫活动,带来电信欺诈、话费损失、号码信誉受损等次生风险;在企业层面,还可能引发客户服务中断、录音与通话数据泄露、合规风险上升等连锁反应。由于受害实例遍及多国,跨境溯源与处置难度加大,也反映出通信基础设施类系统在全球范围内面临的共同挑战。 (对策) 针对此类威胁,安全界建议从“补丁修复、访问收敛、持续监测、应急清理”四上同步推进: 一是尽快完成版本升级。官方信息显示,受影响范围涉及FreePBX 17.0.2.36及以上版本,相关问题已在17.0.3版本中修复。对仍在运行旧版本或无法确认版本的单位,应立即核验并制定窗口期内升级计划。 二是强化管理面板访问控制。应确保仅授权人员可访问管理员控制面板(ACP),通过IP白名单、VPN、零信任访问、最小权限与多因素认证等手段降低被滥用概率,并关闭不必要的公网暴露入口。 三是同步更新关键模块并开展配置加固。建议将filestore等相关模块升级至最新版本,清理默认账户与弱口令,复核日志留存与审计策略,建立异常登录、异常命令执行、可疑文件落地的告警规则。 四是对疑似受侵主机实施处置闭环。包括隔离主机、排查Web目录与系统任务计划中的异常文件与持久化项、轮换管理凭据与密钥、对外呼叫记录核查与拦截策略加固,必要时开展取证分析并通报上下游合作方。 (前景) 不容忽视的是,美国网络安全和基础设施安全局已将该漏洞纳入已知被利用漏洞目录,表达出“野外利用活跃、处置应从快”的明确信号。业内预计,随着漏洞细节与利用链被更多研究披露,针对未修复实例的自动化扫描与批量攻击仍可能持续一段时间。面向未来,企业在部署通信与业务承载系统时,应将“可见性与可更新性”纳入建设标准:既要建立资产清单与暴露面管理,也要把补丁治理纳入常态化运维考核,避免“系统稳定运行”被误解为“系统安全可靠”。
此次事件揭示了数字化进程中的安全隐患。随着通信系统转向软件定义,安全运维需同步升级。在万物互联时代,一个代码漏洞可能引发广泛影响——这不仅是技术问题,更是关乎社会运行基础的安全挑战。