C
月内に
攻撃者が「EncystPHP」というウェブシェルの存在を確認するためのスキャン活動を行っていること
📌 一言でいうと
攻撃者が「EncystPHP」というウェブシェルの存在を確認するためのスキャン活動を行っていることが報告されました。このウェブシェルは特にFreePBXシステムの脆弱性を悪用して展開される傾向があります。攻撃者は認証不要または既知の認証情報を持つシェルを探しており、一部では推測困難な認証情報を設定して永続性を確保しようとしています。
🏢影響範囲
FreePBXを利用している組織およびウェブサーバーを運用している組織
✅該当時の対応
FreePBXおよび関連ソフトウェアを最新バージョンに更新し、不審なファイル(ウェブシェル)がアップロードされていないかディレクトリを監視してください。また、不要な管理インターフェースをインターネットに公開しない設定を推奨します。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】EncystPHP ウェブシェルによるスキャン活動について
お疲れさまです。EncystPHPに関する情報共有です。
■ 概要
攻撃者がFreePBX等の脆弱なシステムに設置された「EncystPHP」ウェブシェルを探索するスキャン活動が確認されています。ウェブシェルが設置された場合、攻撃者にサーバーの遠隔操作権限を奪取される恐れがあります。
■ 影響範囲
- FreePBX システム
- その他、EncystPHPが設置されたウェブサーバー
■ 対応手順
1. FreePBXおよび関連コンポーネントの最新パッチ適用を確認する。
2. ウェブディレクトリ内に不審なPHPファイルが作成されていないか整合性チェックを実施する。
3. 管理画面へのアクセス制限(IP制限等)を再確認し、不要な公開を停止する。
■ 参考情報
- Fortinet (January report on EncystPHP)
対応優先度: 中
対応期限: 速やかに確認
お疲れさまです。EncystPHPに関する情報共有です。
■ 概要
攻撃者がFreePBX等の脆弱なシステムに設置された「EncystPHP」ウェブシェルを探索するスキャン活動が確認されています。ウェブシェルが設置された場合、攻撃者にサーバーの遠隔操作権限を奪取される恐れがあります。
■ 影響範囲
- FreePBX システム
- その他、EncystPHPが設置されたウェブサーバー
■ 対応手順
1. FreePBXおよび関連コンポーネントの最新パッチ適用を確認する。
2. ウェブディレクトリ内に不審なPHPファイルが作成されていないか整合性チェックを実施する。
3. 管理画面へのアクセス制限(IP制限等)を再確認し、不要な公開を停止する。
■ 参考情報
- Fortinet (January report on EncystPHP)
対応優先度: 中
対応期限: 速やかに確認
Subject: [Info] Scanning Activity for EncystPHP Webshell
Hi team,
This is a technical update regarding the detection of scans for the 'EncystPHP' webshell.
■ Overview
Threat actors are actively scanning for the EncystPHP webshell, which is commonly associated with compromised FreePBX systems. The goal is to identify shells with weak or no authentication to gain unauthorized remote access to the server.
■ Scope
- FreePBX systems
- Web servers potentially hosting EncystPHP
■ Mitigation Steps
1. Ensure all FreePBX and related software are updated to the latest versions.
2. Perform a file integrity check on web directories to detect unauthorized PHP scripts.
3. Review and restrict access to administrative interfaces via IP whitelisting or VPN.
■ Reference
- Fortinet (January report on EncystPHP)
Priority: Medium
Deadline: Immediate review
Hi team,
This is a technical update regarding the detection of scans for the 'EncystPHP' webshell.
■ Overview
Threat actors are actively scanning for the EncystPHP webshell, which is commonly associated with compromised FreePBX systems. The goal is to identify shells with weak or no authentication to gain unauthorized remote access to the server.
■ Scope
- FreePBX systems
- Web servers potentially hosting EncystPHP
■ Mitigation Steps
1. Ensure all FreePBX and related software are updated to the latest versions.
2. Perform a file integrity check on web directories to detect unauthorized PHP scripts.
3. Review and restrict access to administrative interfaces via IP whitelisting or VPN.
■ Reference
- Fortinet (January report on EncystPHP)
Priority: Medium
Deadline: Immediate review