خطأ فادح في سلسلة التوريد يعرض مستخدمي تطبيق الهاتف 3CX للخطر

أعاد نشره أفلاطون

المتابعون: 0

NB. أسماء الكشف يمكنك التحقق مما إذا كنت تستخدم منتجات وخدمات Sophos
متوفرة من فريق Sophos X-Ops على موقع أختنا أخبار سوفوس.

تحذر شركة الاتصالات الهاتفية عبر الإنترنت 3CX عملائها من البرمجيات الخبيثة تم إدخاله على ما يبدو في تطبيق 3CX لسطح المكتب الخاص بالشركة من قبل مجرمي الإنترنت الذين يبدو أنهم حصلوا على حق الوصول إلى واحد أو أكثر من مستودعات كود مصدر 3CX.

كما يمكنك أن تتخيل ، نظرًا لأن الشركة تسعى جاهدة ليس فقط لمعرفة ما حدث ، ولكن أيضًا لإصلاح وتوثيق الخطأ الذي حدث ، فإن 3CX ليس لديها الكثير من التفاصيل لمشاركتها حول الحادث حتى الآن ، ولكنها توضح ذلك ، أعلى مسؤولها انذار امني:

يبدو أن المشكلة هي إحدى المكتبات المجمعة التي قمنا بتجميعها في تطبيق Windows Electron عبر Git.

ما زلنا نبحث في هذه المسألة حتى نتمكن من تقديم إجابة أكثر تعمقًا في وقت لاحق اليوم [2023-03-30].

Electron هو اسم مجموعة أدوات برمجة كبيرة ومعقدة للغاية ولكنها فائقة القوة تمنحك واجهة أمامية كاملة بنمط المتصفح لبرنامجك ، جاهزة للعمل.

على سبيل المثال ، بدلاً من الاحتفاظ برمز واجهة المستخدم الخاص بك في C أو C ++ والعمل مباشرةً مع ، على سبيل المثال ، MFC على Windows ، و Cocoa على macOS ، و Qt على Linux ...

... تقوم بتجميع مجموعة أدوات Electron وتبرمج الجزء الأكبر من تطبيقك في JavaScript و HTML و CSS ، كما لو كنت تنشئ موقعًا إلكترونيًا يعمل في أي متصفح.

.s-button + .s-button {margin-left: .3125rem؛ } .s-button {الانتقال: الكل 15 ثانية خطي ؛ حجم الخط: .875rem ؛ ارتفاع الخط: 1.5 ؛ اللون: # f2f2f2 ؛ عائلة الخطوط: SophosSansMedium و Helvetica Neue و Helvetica و Arial و sans-serif ؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ عرض: مضمنة كتلة ؛ الحشو: .3125rem 1.25rem ؛ المؤشر: المؤشر. محاذاة النص: مركز ؛ زخرفة النص: لا شيء ؛ الحد: 1 بكسل صلب # 005bc8 ؛ نصف قطر الحدود: 3 بكسل ؛ لون الخلفية: # 005bc8 ؛ ظل النص: لا شيء ؛ } .s-button: تحوم {text-decoration: none؛ اللون: #fff ؛ لون الحدود: # 002d62 ؛ لون الخلفية: # 002d62 ؛ } .s-button – white، .s-button – white: تحوم {color: # 005bc8! important؛ لون الحدود: #fff ؛ لون الخلفية: #fff ؛ } .s-ad-sophos-mdr {font-size: 1rem؛ ارتفاع الخط: 1.5 ؛ اللون: # 242629 ؛ عائلة الخطوط: SophosSansRegular و Helvetica Neue و Helvetica و Arial و sans-serif ؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ الموقف: نسبي ؛ أقصى عرض: 769 بكسل ؛ الهامش: 15 بكسل تلقائي ؛ الحشو: 30 بكسل 30 بكسل 25 بكسل ؛ الانتقال: مربع الظل .25 ثانية مكعب بيزير (.645 ، .045 ، .355 ، 1) ؛ محاذاة النص: مركز ؛ لون الخلفية: # 0d141d ؛ تكرار الخلفية: لا تكرار ؛ موضع الخلفية: 50٪ ؛ حجم الخلفية: غطاء ؛ ظل الصندوق: 0 0 0 0 0 شفاف ؛ لون الخلفية: # 005bc8 ؛ صورة الخلفية: لا شيء ؛ موضع الخلفية: 0 0 ؛ } .s-ad-sophos-mdr__title {font-size: 2rem؛ ارتفاع الخط: 1.125 ؛ الهامش السفلي: 4 بكسل ؛ اللون: #fff ؛ } .s-ad-sophos-mdr__text {font-family: SophosSansLight، Helvetica Neue، Helvetica، Arial، sans-serif؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ حجم الخط: 17 بكسل ؛ اللون: #fff ؛ } .s-ad-sophos-mdr__action {margin-top: 15px؛ } .s-ad-sophos-mdr__action .s-button {color: #fff؛ } .s-ad-sophos-mdr__link-wrapper {text-decoration: none؛ } .s-ad-sophos-mdr__link-wrapper: hover .s-ad-sophos-mdr {box-shadow: 0 5px 10px 0 rgba (0، 0، 0، .15)؛ } .s-ad-sophos-mdr__sophos-logo {الموقف: مطلق؛ أعلى: 15 بكسل ؛ اليمين: 15 بكسل ؛ } .s-ad-sophos-mdr__sophos-logo-svg {display: inline-block؛ العرض: 64 بكسل ؛ الارتفاع: 11 بكسل ؛ محاذاة عمودية: أعلى ؛ تكرار الخلفية: لا تكرار ؛ حجم الخلفية: 64 بكسل 11 بكسل ؛ } .s-ad-sophos-mdr__title {font-family: SophosSansSemibold، Helvetica Neue، Helvetica، Arial، sans-serif؛ وزن الخط: 400 ؛ نمط الخط: عادي ؛ حجم الخط: 28 بكسل ؛ وزن الخط: 700 ؛ ارتفاع الخط: 1 ؛ الهامش السفلي: 10 بكسل ؛ محاذاة النص: يسار ؛ } .s-ad-sophos-mdr__title svg {max-width: 100٪؛ } .s-ad-sophos-mdr__text {font-size: 16px؛ ارتفاع الخط: 1.25 ؛ محاذاة النص: يسار ؛ } .s-ad-sophos-mdr__action {text-align: right؛ } .s-ad-sophos-mdr .s-button {border-radius: 20px؛ }media (min-width: 769px) {.s-ad-sophos-mdr__text {margin-right: 140px؛ } .s-ad-sophos-mdr__action {الموقف: مطلق؛ اليمين: 30 بكسل ؛ أسفل: 30 بكسل ؛ }}media (max-width: 768px) {.s-ad-sophos-mdr {padding-top: 50px؛ } .s-ad-sophos-mdr__title {font-size: 1.625rem؛ } .s-ad-sophos-mdr__text {font-size: 16px؛ } .s-ad-sophos-mdr {padding-top: 30px؛ }}

مع القوة تأتي المسؤولية

إذا كنت قد تساءلت يومًا عن سبب كون تنزيلات التطبيقات الشائعة مثل Visual Studio Code و Zoom و Teams و Slack كبيرة كما هي ، فذلك لأنها تتضمن جميعًا بنية Electron مثل "محرك البرمجة" الأساسي للتطبيق نفسه.

الجانب الجيد من أدوات مثل Electron هو أنها تجعل من الأسهل (والأسرع) بشكل عام إنشاء تطبيقات تبدو جيدة ، والتي تعمل بطريقة يعرفها المستخدمون بالفعل ، ولا تتصرف بشكل مختلف تمامًا في كل نظام تشغيل مختلف .

الجانب السيئ هو أن هناك الكثير من التعليمات البرمجية الأساسية التي تحتاج إلى سحبها من مستودع كود المصدر الخاص بك (أو ربما من شخص آخر) في كل مرة تعيد فيها بناء تطبيقك الخاص ، وحتى التطبيقات المتواضعة عادةً ما ينتهي بها الأمر عدة مئات من الميجابايت في الحجم عند تنزيلها ، وحتى أكبر بعد تثبيتها.

هذا سيء من الناحية النظرية على الأقل.

بشكل فضفاض ، كلما كان تطبيقك أكبر ، زادت الطرق المتاحة لخطأه.

وعلى الرغم من أنك ربما تكون على دراية بالشفرة التي تشكل الأجزاء الفريدة من التطبيق الخاص بك ، ولا شك أنك في وضع جيد لمراجعة جميع التغييرات من إصدار إلى آخر ، فمن غير المرجح أن يكون لديك نفس النوع من الإلمام برمز الإلكترون الأساسي الذي يعتمد عليه تطبيقك.

لذلك من غير المحتمل أن يكون لديك الوقت للانتباه إلى جميع التغييرات التي ربما تم إدخالها في أجزاء "النموذج المعياري" للإلكترون من بنائك من قبل فريق المتطوعين مفتوح المصدر الذين يشكلون مشروع Electron نفسه.

هاجم الجزء الكبير الأقل شهرة

بمعنى آخر ، إذا كنت تحتفظ بنسختك الخاصة من مستودع Electron ، ووجد المهاجمون طريقة في نظام التحكم في كود المصدر (في حالة 3CX ، يبدو أنهم يستخدمون بوابة برنامج لذلك) ...

... ثم قد يقرر هؤلاء المهاجمون تفخيخ الإصدار التالي من تطبيقك عن طريق حقن أجزاءهم الخبيثة في جزء الإلكترون من شجرة المصدر الخاصة بك ، بدلاً من محاولة العبث بشفرة الملكية الخاصة بك.

بعد كل شيء ، من المحتمل أن تأخذ رمز Electron كأمر مسلم به طالما أنه يبدو "في الغالب كما كان من قبل" ، ومن المؤكد أنك في وضع أفضل لاكتشاف الإضافات غير المرغوب فيها أو غير المتوقعة في كود فريقك بدلاً من شجرة تبعية عملاقة شفرة المصدر التي كتبها شخص آخر.

عندما تقوم بمراجعة الرمز الخاص بشركتك ، [أ] ربما تكون قد شاهدته من قبل ، و [ب] ربما تكون قد حضرت الاجتماعات التي تظهر فيها التغييرات الآن في فرق تمت مناقشتها والاتفاق عليها. من المرجح أن تكون مضبوطًا ، وأكثر حساسية للملكية - إذا كنت ترغب في ذلك - بشأن التغييرات في التعليمات البرمجية الخاصة بك التي لا تبدو صحيحة. إنه يشبه إلى حدٍ ما الفرق بين ملاحظة أن شيئًا ما خارج عن السيطرة عندما تقود سيارتك الخاصة عن عندما تنطلق في سيارة مستأجرة في المطار. لا يعني ذلك أنك لا تهتم بالسيارة المستأجرة لأنها ليست لك (نأمل ذلك!) ، ولكن ببساطة ليس لديك نفس التاريخ ، ولأنك تريد كلمة أفضل ، نفس العلاقة الحميمة معها.

ماذا ستفعلين.. إذًا؟

ببساطة ، إذا كنت مستخدم 3CX ولديك تطبيق سطح المكتب للشركة على نظام التشغيل Windows أو macOS ، يجب عليك:

قم بإلغاء تثبيته على الفور. قد تكون الإضافات الخبيثة في النسخة المفخخة قد وصلت إما في تثبيت حديث حديث للتطبيق من 3CX ، أو كأثر جانبي لتحديث رسمي. يبدو أن الإصدارات التي تحتوي على برامج ضارة قد تم إنشاؤها وتوزيعها بواسطة 3CX نفسها ، لذا فهي تحتوي على التوقيعات الرقمية التي تتوقعها من الشركة ، ومن المؤكد تقريبًا أنها جاءت من خادم تنزيل 3CX رسمي. بمعنى آخر ، أنت لست محصنًا لمجرد أنك ابتعدت عن مواقع التنزيل البديلة أو غير الرسمية. منتج معروف سيئ أرقام الإصدارات يمكن العثور عليها في تنبيه أمان 3CX.
تحقق من جهاز الكمبيوتر الخاص بك وسجلاتك بحثًا عن علامات منبهة للبرامج الضارة. مجرد إزالة تطبيق 3CX لا يكفي للتنظيف ، لأن هذه البرامج الضارة (مثل معظم البرامج الضارة المعاصرة) يمكنها بنفسها تنزيل برامج ضارة إضافية وتثبيتها. يمكنك قراءة المزيد حول كيفية عمل ملف تعمل البرامج الضارة بالفعل على موقعنا الشقيق ، Sophos News ، حيث نشر Sophos X-Ops التحليل والمشورة لمساعدتك في مطاردة التهديدات الخاصة بك. تسرد هذه المقالة أيضًا أسماء الكشف التي ستستخدمها منتجات Sophos في حالة العثور على أي عناصر من هذا الهجوم في شبكتك وحظرها. يمكنك أيضًا العثور على ملف قائمة مفيدة من ما يسمى IoCs ، أو مؤشرات التسوية، على سوفوسلابس جيثب الصفحات. تخبرك IoCs بكيفية العثور على دليل على تعرضك للهجوم ، في شكل عناوين URL التي قد تظهر في سجلاتك ، وملفات معروفة سيئة للبحث عنها على أجهزة الكمبيوتر الخاصة بك ، والمزيد.

هل تحتاج إلى معرفة المزيد؟ استمر في تتبع بطاقات IOC ، وأسماء التحليل والكشف

قم بالتبديل إلى استخدام تطبيق الهاتف المستند إلى الويب الخاص بـ 3CX في الوقت الحالي. تقول الشركة: "نقترح بشدة أن تستخدم تطبيق الويب التقدمي (PWA) بدلاً من ذلك. تطبيق PWA قائم على الويب بالكامل ويقوم بنسبة 95٪ مما يفعله تطبيق Electron. وتتمثل الميزة في أنه لا يتطلب أي تثبيت أو تحديث ويتم تطبيق أمان الويب من Chrome تلقائيًا ".
انتظر المزيد من النصائح من 3CX حيث تكتشف الشركة المزيد حول ما حدث. من الواضح أن شركة 3CX قد أبلغت بالفعل عن عناوين URL السيئة المعروفة التي تستخدمها البرامج الضارة لمزيد من التنزيلات ، وتدعي أن "غالبية [هذه المجالات] تمت إزالتها بين عشية وضحاها". تقول الشركة أيضًا إنها أوقفت مؤقتًا إتاحة تطبيق Windows الخاص بها ، وستعيد قريبًا إنشاء إصدار جديد موقّع بتوقيع رقمي جديد. وهذا يعني أنه يمكن التعرف على أي إصدارات قديمة وإزالتها من خلال حظر شهادة التوقيع القديمة بشكل صريح ، والتي لن يتم استخدامها مرة أخرى.
إذا لم تكن متأكدًا مما يجب عليك فعله ، أو لم يكن لديك الوقت للقيام بذلك بنفسك ، فلا تخف من طلب المساعدة. يمكنك الحصول على Sophos الكشف المدار والاستجابة (MDR) أو سوفوس استجابة سريعة (RR) عبر موقعنا الرئيسي.

محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
المصدر https://nakedsecurity.sophos.com/2023/03/30/supply-chain-blunder-puts-3cx-telephone-app-users-at-risk/

الطابع الزمني: 30 آذار، 2023

الطابع الزمني: يونيو 15، 2023

أعاد نشره أفلاطون

الجمعة السوداء وموسم البيع بالتجزئة - احترس من عمليات الاحتيال "لطلب الأموال" من PayPal

"امسكها وأعطِها اهتزازًا" - لا يزال التزحلق على بطاقة الصراف الآلي أمرًا مهمًا

سجن مشتبه به هولندي بسبب سرقة بيانات شخصية مزعومة

أمان جاد: خطأ تسجيل الدخول إلى Samba الناجم عن تشفير قديم

رسائل البريد الإلكتروني المخادعة على Twitter Blue Badge - لا تقع في حبهم!

تحرك فوق التصحيح الثلاثاء - إنه يوم Ada Lovelace!

أجهزة الصراف الآلي Bitcoin التي امتصها المهاجمون الذين أنشأوا حسابات مشرفين مزيفة

أبل تصلح خطأ زرع برامج التجسس في اليوم صفر - التصحيح الآن!

MOVEit mayhem 3: "تعطيل حركة مرور HTTP و HTTPS على الفور"

من نحن

البحث العمودي و Ai

الانطلاق

ابق على تواصل

حسابي