সাপ্লাই চেইন ভুল 3CX টেলিফোন অ্যাপ ব্যবহারকারীদের ঝুঁকির মধ্যে রাখে

বিশেষ দ্রষ্টব্য। সনাক্তকরণের নাম আপনি Sophos পণ্য এবং পরিষেবা ব্যবহার করেন কিনা তা পরীক্ষা করতে পারেন
থেকে উপলব্ধ সোফোস এক্স-অপস দল আমাদের বোন সাইটে সোফোস নিউজ.

ইন্টারনেট টেলিফোনি কোম্পানি 3CX তাদের গ্রাহকদের সতর্ক করছে ম্যালওয়্যার যেটি দৃশ্যত সাইবার অপরাধীদের দ্বারা কোম্পানির নিজস্ব 3CX ডেস্কটপ অ্যাপে ঢেলে দেওয়া হয়েছিল যারা 3CX এর সোর্স কোড রিপোজিটরিগুলির এক বা একাধিক অ্যাক্সেস অর্জন করেছে বলে মনে হয়৷

আপনি যেমন কল্পনা করতে পারেন, কোম্পানিটি কেবল কী ঘটেছে তা খুঁজে বের করার জন্য নয়, বরং কী ভুল হয়েছে তা মেরামত ও নথিভুক্ত করার জন্যও ঝাঁকুনি দিচ্ছে, 3CX-এর কাছে এখনও ঘটনাটি সম্পর্কে ভাগ করার মতো খুব বেশি বিশদ নেই, তবে এটি ঠিক এই সময়েই বলেছে তার কর্মকর্তার খুব শীর্ষ নিরাপত্তা সতর্কীকরণ:

সমস্যাটি বান্ডিল করা লাইব্রেরিগুলির মধ্যে একটি বলে মনে হচ্ছে যা আমরা গিট এর মাধ্যমে উইন্ডোজ ইলেক্ট্রন অ্যাপে কম্পাইল করেছি।

আজকে [2023-03-30] পরে আরও গভীর প্রতিক্রিয়া প্রদান করতে সক্ষম হওয়ার জন্য আমরা এখনও বিষয়টি নিয়ে গবেষণা করছি।

ইলেক্ট্রন হল একটি বৃহৎ এবং অতি-জটিল-কিন্তু অতি-শক্তিশালী প্রোগ্রামিং টুলকিটের নাম যা আপনাকে আপনার সফ্টওয়্যারের জন্য সম্পূর্ণ ব্রাউজার-স্টাইল ফ্রন্ট এন্ড দেয়, যেতে প্রস্তুত।

উদাহরণস্বরূপ, C বা C++-এ আপনার নিজস্ব ইউজার ইন্টারফেস কোড বজায় রাখার পরিবর্তে এবং সরাসরি কাজ করার পরিবর্তে, বলুন, Windows-এ MFC, MacOS-এ Cocoa এবং Linux-এ Qt...

…আপনি ইলেক্ট্রন টুলকিটে বান্ডিল করেন এবং জাভাস্ক্রিপ্ট, এইচটিএমএল এবং সিএসএস-এ আপনার অ্যাপের সিংহভাগ প্রোগ্রাম করেন, যেন আপনি একটি ওয়েবসাইট তৈরি করছেন যা যেকোনো ব্রাউজারে কাজ করবে।

ক্ষমতার সাথে দায়িত্ব আসে

আপনি যদি কখনও ভেবে থাকেন কেন ভিজ্যুয়াল স্টুডিও কোড, জুম, টিম এবং স্ল্যাকের মতো জনপ্রিয় অ্যাপ ডাউনলোডগুলি তাদের মতোই বড়, কারণ সেগুলি সমস্ত অ্যাপের জন্যই মূল "প্রোগ্রামিং ইঞ্জিন" হিসাবে ইলেক্ট্রনের একটি বিল্ড অন্তর্ভুক্ত করে৷

ইলেক্ট্রনের মতো সরঞ্জামগুলির ভাল দিক হল যে তারা সাধারণত এমন অ্যাপগুলি তৈরি করা সহজ (এবং দ্রুত) করে যা দেখতে ভাল, যেগুলি এমনভাবে কাজ করে যাতে ব্যবহারকারীরা এর সাথে পরিচিত হয় এবং প্রতিটি আলাদা অপারেটিং সিস্টেমে সম্পূর্ণ আলাদাভাবে আচরণ করে না .

খারাপ দিকটি হল যে আরও অনেক বেশি আন্ডারলাইং ফাউন্ডেশন কোড রয়েছে যা প্রতিবার আপনি নিজের অ্যাপটি পুনর্নির্মাণ করার সময় আপনার নিজের (বা সম্ভবত অন্য কারও কাছ থেকে) সোর্স কোড রিপোজিটরি থেকে নামিয়ে আনতে হবে, এমনকি শালীন অ্যাপগুলি সাধারণত কয়েকশো মেগাবাইট শেষ করে। সেগুলি ডাউনলোড করার সময় আকারে এবং ইনস্টল হওয়ার পরেও বড়৷

এটা খারাপ, অন্তত তত্ত্ব.

ঢিলেঢালাভাবে বলতে গেলে, আপনার অ্যাপটি যত বড় হবে, ভুল হওয়ার জন্য তত বেশি উপায় আছে।

এবং আপনি সম্ভবত সেই কোডের সাথে পরিচিত যা আপনার নিজের অ্যাপের অনন্য অংশগুলি তৈরি করে, এবং আপনি নিঃসন্দেহে এক রিলিজ থেকে পরবর্তী সমস্ত পরিবর্তন পর্যালোচনা করার জন্য উপযুক্ত, আপনার কাছে এটির সম্ভাবনা অনেক কম। অন্তর্নিহিত ইলেক্ট্রন কোডের সাথে একই ধরণের পরিচিতি যার উপর আপনার অ্যাপ নির্ভর করে।

তাই এটি অসম্ভাব্য যে আপনার বিল্ডের "বয়লারপ্লেট" ইলেক্ট্রন অংশে যে সমস্ত পরিবর্তনগুলি চালু করা হয়েছে সেগুলিকে মনোযোগ দেওয়ার জন্য আপনার কাছে সময় থাকবে না যেটি ওপেন-সোর্স স্বেচ্ছাসেবকদের দল যারা ইলেক্ট্রন প্রকল্প নিজেই তৈরি করে।

কম সুপরিচিত যে বড় বিট আক্রমণ

অন্য কথায়, আপনি যদি ইলেক্ট্রন সংগ্রহস্থলের নিজস্ব অনুলিপি রাখেন এবং আক্রমণকারীরা আপনার সোর্স কোড নিয়ন্ত্রণ ব্যবস্থায় একটি উপায় খুঁজে পায় (3CX এর ক্ষেত্রে, তারা দৃশ্যত খুব জনপ্রিয় ব্যবহার করছে git এর জন্য সফটওয়্যার)…

…তারপর সেই আক্রমণকারীরা আপনার নিজের মালিকানাধীন কোডের সাথে তালগোল পাকানোর চেষ্টা করার পরিবর্তে আপনার সোর্স ট্রির ইলেক্ট্রন অংশে তাদের ক্ষতিকারক বিট-এন্ড-পিস ইনজেকশনের মাধ্যমে আপনার অ্যাপের পরবর্তী সংস্করণটিকে বুবি-ট্র্যাপ করার সিদ্ধান্ত নিতে পারে।

সর্বোপরি, আপনি সম্ভবত ইলেক্ট্রন কোডটিকে মঞ্জুর হিসাবে গ্রহণ করবেন যতক্ষণ না এটি "অধিকাংশ আগের মতোই" দেখায়, এবং আপনি প্রায় নিশ্চিতভাবেই আপনার নিজের দলের কোডে অবাঞ্ছিত বা অপ্রত্যাশিত সংযোজনগুলিকে একটি দৈত্য নির্ভরতা গাছের তুলনায় আরও ভালভাবে স্থান পেয়েছেন। সোর্স কোড যা অন্য কেউ লিখেছিল।

আপনি যখন আপনার নিজের কোম্পানির নিজস্ব কোড পর্যালোচনা করছেন, [A] আপনি সম্ভবত এটি আগে দেখেছেন, এবং [B] আপনি হয়ত খুব ভালোভাবে সেই মিটিংগুলিতে যোগ দিয়েছেন যেখানে এখন আপনার পরিবর্তনগুলি দেখানো হচ্ছে বিভক্ত আলোচনা করা হয়েছে এবং সম্মত হয়েছে। আপনার নিজের কোডের পরিবর্তনগুলি যা সঠিক দেখায় না সেগুলি সম্পর্কে আপনার টিউন হওয়ার সম্ভাবনা বেশি, এবং আরও বেশি মালিকানা - সংবেদনশীল, যদি আপনি চান৷ আপনি বিমানবন্দরে ভাড়ার গাড়িতে যাত্রা করার সময় থেকে আপনার নিজের গাড়ি চালানোর সময় কিছু অপ্রত্যাশিত লক্ষ্য করার মধ্যে পার্থক্যের মতো এটি কিছুটা। এমন নয় যে আপনি ভাড়া করা গাড়িটি সম্পর্কে চিন্তা করেন না কারণ এটি আপনার নয় (আমরা আশা করি!), তবে কেবলমাত্র আপনার একই ইতিহাস নেই এবং, আরও ভাল শব্দের জন্য, এটির সাথে একই ঘনিষ্ঠতা।

কি করো?

সহজভাবে বলা, আপনি যদি একটি 3CX ব্যবহারকারী এবং আপনি Windows বা macOS-এ কোম্পানির ডেস্কটপ অ্যাপ পেয়েছেন, আপনার উচিত:

• অবিলম্বে এটি আনইনস্টল. বুবি-ট্র্যাপড সংস্করণে দূষিত অ্যাড-অনগুলি 3CX থেকে অ্যাপটির সাম্প্রতিক, নতুন ইনস্টলেশনে বা কোনও অফিসিয়াল আপডেটের পার্শ্ব-প্রতিক্রিয়া হিসাবে আসতে পারে। ম্যালওয়্যার-লেসযুক্ত সংস্করণগুলি দৃশ্যত 3CX নিজেই তৈরি এবং বিতরণ করা হয়েছিল, তাই তাদের কাছে এমন ডিজিটাল স্বাক্ষর রয়েছে যা আপনি কোম্পানির কাছ থেকে আশা করতে চান এবং সেগুলি প্রায় অবশ্যই একটি অফিসিয়াল 3CX ডাউনলোড সার্ভার থেকে এসেছে৷ অন্য কথায়, আপনি অনাক্রম্য নন কারণ আপনি বিকল্প বা অনানুষ্ঠানিক ডাউনলোড সাইটগুলি থেকে সরে এসেছেন। পরিচিত-খারাপ পণ্য সংস্করণ সংখ্যা 3CX এর নিরাপত্তা সতর্কতায় পাওয়া যাবে।
• আপনার কম্পিউটার এবং ম্যালওয়্যারের লক্ষণগুলির জন্য আপনার লগগুলি পরীক্ষা করুন৷ শুধুমাত্র 3CX অ্যাপ মুছে ফেলাই পরিষ্কার করার জন্য যথেষ্ট নয়, কারণ এই ম্যালওয়্যার (অধিকাংশ সমসাময়িক ম্যালওয়ারের মতো) নিজেই অতিরিক্ত ম্যালওয়্যার ডাউনলোড এবং ইনস্টল করতে পারে। আপনি কিভাবে সম্পর্কে আরও পড়তে পারেন ম্যালওয়্যার আসলে কাজ করে আমাদের বোন সাইট, Sophos News, যেখানে Sophos X-Ops প্রকাশিত হয়েছে বিশ্লেষণ এবং পরামর্শ আপনার হুমকি শিকারে আপনাকে সাহায্য করার জন্য। সেই নিবন্ধটি সনাক্তকরণের নামগুলিও তালিকাভুক্ত করে যা Sophos পণ্যগুলি ব্যবহার করবে যদি তারা আপনার নেটওয়ার্কে এই আক্রমণের কোনো উপাদান খুঁজে পায় এবং ব্লক করে। আপনি একটি খুঁজে পেতে পারেন দরকারী তালিকা তথাকথিত আইওসি, বা সমঝোতার সূচক, উপরে SophosLabs GitHub পৃষ্ঠাগুলি IoCs আপনাকে বলে যে কীভাবে আপনার উপর আক্রমণ করা হয়েছে তার প্রমাণ খুঁজে পাওয়া যায়, আপনার লগে দেখা যেতে পারে এমন URL, আপনার কম্পিউটারে খোঁজার জন্য পরিচিত-খারাপ ফাইল এবং আরও অনেক কিছু।

---

আরো জানার প্রয়োজন? আইওসিএস, বিশ্লেষণ এবং সনাক্তকরণ নামগুলির ট্র্যাক রাখুন৷

---

• আপাতত 3CX-এর ওয়েব-ভিত্তিক টেলিফোনি অ্যাপ ব্যবহারে স্যুইচ করুন। সংস্থাটি বলে: "আমরা দৃঢ়ভাবে পরামর্শ দিই যে আপনি পরিবর্তে আমাদের প্রগ্রেসিভ ওয়েব অ্যাপ (PWA) ব্যবহার করুন৷ PWA অ্যাপটি সম্পূর্ণ ওয়েব-ভিত্তিক এবং ইলেক্ট্রন অ্যাপ যা করে তার 95% করে। সুবিধা হল এটির জন্য কোনো ইনস্টলেশন বা আপডেটের প্রয়োজন হয় না এবং Chrome ওয়েব নিরাপত্তা স্বয়ংক্রিয়ভাবে প্রয়োগ করা হয়।
• 3CX থেকে আরও পরামর্শের জন্য অপেক্ষা করুন কারণ কোম্পানি কী ঘটেছে সে সম্পর্কে আরও জানতে পারে। 3CX স্পষ্টতই ইতিমধ্যে পরিচিত-খারাপ URL গুলি রিপোর্ট করেছে যা ম্যালওয়্যার আরও ডাউনলোডের জন্য ব্যবহার করে এবং দাবি করে যে "অধিকাংশ [এই ডোমেনগুলির] রাতারাতি সরিয়ে নেওয়া হয়েছিল।" সংস্থাটি আরও বলেছে যে এটি তার উইন্ডোজ অ্যাপের উপলব্ধতা সাময়িকভাবে বন্ধ করে দিয়েছে এবং শীঘ্রই একটি নতুন সংস্করণ পুনর্নির্মাণ করবে যা একটি নতুন ডিজিটাল স্বাক্ষর সহ স্বাক্ষরিত। এর মানে হল যেকোন পুরানো সংস্করণগুলিকে চিহ্নিত করা যেতে পারে এবং স্পষ্টভাবে পুরানো স্বাক্ষরকারী শংসাপত্রকে ব্লক তালিকাভুক্ত করে পরিষ্কার করা যেতে পারে, যা আবার ব্যবহার করা হবে না৷
• আপনি যদি নিশ্চিত না হন যে কি করতে হবে, বা নিজে করার সময় না থাকে, সাহায্যের জন্য কল করতে ভয় পাবেন না। আপনি Sophos ধরতে পারেন পরিচালিত সনাক্তকরণ এবং প্রতিক্রিয়া (MDR) বা Sophos দ্রুত প্রতিক্রিয়া (RR) আমাদের প্রধান ওয়েবসাইটের মাধ্যমে।

---

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• উত্স: https://nakedsecurity.sophos.com/2023/03/30/supply-chain-blunder-puts-3cx-telephone-app-users-at-risk/