A Shadowserver Foundation revelou que mais de 900 instâncias do sistema de telefonia IP Sangoma FreePBX permanecem infectadas com web shells, resultado de uma campanha de exploração de uma vulnerabilidade de injeção de comandos iniciada em dezembro de 2025. O Brasil é o segundo país mais afetado, com 51 servidores comprometidos, atrás apenas dos Estados Unidos (401).
Descoberta e escopo
A entidade sem fins lucrativos, dedicada a melhorar a segurança da internet, identificou os servidores comprometidos por meio de varreduras contínuas. Os ataques exploraram uma vulnerabilidade de injeção de comandos no FreePBX, uma interface web de código aberto amplamente usada para gerenciar sistemas Asterisk de PABX. A exploração permitiu que atacantes implantassem web shells – scripts maliciosos que fornecem acesso remoto e persistente ao servidor.
Impacto e alcance
Além dos 401 servidores nos EUA e 51 no Brasil, o Canadá registra 43 instâncias infectadas, a Alemanha 40 e a França 36. A Shadowserver alerta que os comprometimentos provavelmente permitem aos atacantes monitorar chamadas, desviar tráfego, realizar fraudes telefônicas ou usar os servidores como ponto de partida para ataques posteriores dentro da rede da vítima. A persistência das web shells indica que muitas organizações ainda não remediaram a vulnerabilidade ou não detectaram a invasão.
Vetor e exploração
Os ataques começaram a ganhar força em dezembro de 2025, aproveitando-se de uma falha que permite a execução de comandos arbitrários no sistema por meio de entradas não validadas na interface web. Embora patches tenham sido disponibilizados pelo fabricante Sangoma, a falta de aplicação imediata das correções e a dificuldade em detectar web shells após a invasão explicam o alto número de sistemas ainda comprometidos meses depois.
Repercussão e recomendações
A Shadowserver notificou os proprietários dos sistemas identificados. A organização recomenda que todos os administradores de FreePBX verifiquem imediatamente se suas instâncias estão entre as versões vulneráveis, apliquem os patches mais recentes e realizem varreduras forenses em busca de web shells ou outras atividades maliciosas. A remoção de uma web shell requer não apenas a exclusão do arquivo malicioso, mas também a correção da vulnerabilidade explorada para evitar uma reinfecção.