Über 900 Sangoma FreePBX-Instanzen kompromittiert

Über 900 Sangoma FreePBX-Instanzen sind weiterhin von Web Shell-Angriffen betroffen, die eine Command Injection-Schwachstelle ausnutzen. Diese Angriffe begannen im Dezember 2025 und wurden von der Shadowserver Foundation aufgedeckt. Die Organisation, die sich mit der Überwachung von Cyber-Bedrohungen beschäftigt, hat festgestellt, dass die Sicherheitslücke in zahlreichen Systemen weltweit ausgenutzt wird. Von den 900 infizierten Instanzen befinden sich 401 in den Vereinigten Staaten. Brasilien folgt mit 51 betroffenen Systemen, während 43 in Kanada, 40 in Deutschland und 36 in Frankreich registriert sind.

Diese Zahlen verdeutlichen die globale Reichweite der Angriffe und die Dringlichkeit, Sicherheitsmaßnahmen zu ergreifen. Die Shadowserver Foundation hat darauf hingewiesen, dass die Angriffe durch die Ausnutzung einer spezifischen Schwachstelle in der Software ermöglicht wurden. Diese Schwachstelle erlaubt es Angreifern, schadhafter Code in die Systeme einzuschleusen, was zu einer vollständigen Kompromittierung der betroffenen Instanzen führt. Die genaue CVE-Nummer der Schwachstelle wurde in den Berichten nicht angegeben. Die Organisation hat betroffene Nutzer aufgefordert, ihre Systeme umgehend zu überprüfen und Sicherheitsupdates zu installieren.

Die Angreifer könnten durch die kompromittierten Systeme auf sensible Daten zugreifen oder diese für weitere Angriffe nutzen. Die Notwendigkeit, Sicherheitsprotokolle zu aktualisieren, ist für Unternehmen und Organisationen von entscheidender Bedeutung. Die Angriffe auf Sangoma FreePBX sind nicht die ersten ihrer Art. Bereits in der Vergangenheit gab es ähnliche Vorfälle, bei denen Schwachstellen in VoIP-Systemen ausgenutzt wurden. Experten warnen, dass die Bedrohung durch solche Angriffe in den kommenden Monaten zunehmen könnte, insbesondere wenn keine adäquaten Sicherheitsmaßnahmen ergriffen werden.

Shadowserver Foundation hat auch betont, dass die Angriffe nicht nur auf große Unternehmen abzielen, sondern auch kleinere Organisationen und Einzelpersonen gefährden können. Die Verbreitung von Web Shells ist ein ernstes Problem, da sie es Angreifern ermöglichen, die Kontrolle über Systeme zu übernehmen, ohne dass die Benutzer es bemerken. Um die Auswirkungen dieser Angriffe zu minimieren, wird empfohlen, regelmäßige Sicherheitsüberprüfungen durchzuführen und alle Softwareversionen auf dem neuesten Stand zu halten. Die Implementierung von Intrusion Detection Systemen (IDS) kann ebenfalls helfen, verdächtige Aktivitäten frühzeitig zu erkennen und zu verhindern. Die Situation bleibt angespannt, da die Anzahl der kompromittierten Systeme weiterhin steigt.

Die Shadowserver Foundation wird die Entwicklung der Angriffe weiterhin beobachten und regelmäßig Berichte veröffentlichen, um die Öffentlichkeit über neue Bedrohungen zu informieren. Die Organisation hat angekündigt, ihre Datenbank mit Informationen über kompromittierte Systeme regelmäßig zu aktualisieren. Die Sicherheitslage wird durch die Tatsache verschärft, dass viele Organisationen nicht über die notwendigen Ressourcen verfügen, um ihre Systeme ausreichend zu schützen. Laut einer Umfrage von Cybersecurity Ventures aus dem Jahr 2025 gaben 60 % der befragten Unternehmen an, dass sie nicht über die erforderlichen Sicherheitsmaßnahmen verfügen, um sich gegen solche Angriffe zu wappnen. Die Shadowserver Foundation plant, ihre Erkenntnisse und Empfehlungen in den kommenden Wochen zu veröffentlichen, um betroffenen Nutzern zu helfen, ihre Systeme zu sichern.

Organisation hat bereits mit verschiedenen Sicherheitsanbietern zusammengearbeitet, um Lösungen zu entwickeln, die den Nutzern helfen sollen, sich besser zu schützen. Die Angriffe auf Sangoma FreePBX-Instanzen sind ein weiteres Beispiel für die wachsende Bedrohung durch Cyberangriffe im Bereich der Telekommunikation. Experten warnen, dass Unternehmen, die VoIP-Technologien nutzen, besonders anfällig sind, wenn sie keine angemessenen Sicherheitsvorkehrungen treffen. Die Notwendigkeit, sich gegen solche Bedrohungen zu wappnen, wird in den kommenden Monaten weiter zunehmen. Die Shadowserver Foundation hat am 1. März 2026 einen Bericht veröffentlicht, in dem die aktuellen Zahlen und die Verbreitung der Angriffe detailliert aufgeführt sind.