Supply chain bommert udsætter 3CX telefon app brugere i fare

Supply chain bommert udsætter 3CX telefon app brugere i fare

Tidsstempel: 30. marts 2023 kl. 1
Kildeknude: 2552567
by Paul Ducklin

NB. Detektionsnavne du kan tjekke, om du bruger Sophos produkter og tjenester
er tilgængelige fra Sophos X-Ops team på vores søsters websted Sophos Nyheder.

Internettelefoniselskabet 3CX advarer sine kunder om malware der tilsyneladende blev vævet ind i virksomhedens egen 3CX Desktop App af cyberkriminelle, der ser ud til at have fået adgang til et eller flere af 3CX's kildekodelagre.

Som du kan forestille dig, i betragtning af at virksomheden knokler ikke kun for at finde ud af, hvad der skete, men også for at reparere og dokumentere, hvad der gik galt, har 3CX ikke mange detaljer at dele om hændelsen endnu, men det oplyser den, lige kl. selve toppen af ​​sin officielle sikkerhedsadvarsel:

Problemet ser ud til at være et af de medfølgende biblioteker, som vi kompilerede i Windows Electron-appen via Git.

Vi undersøger stadig sagen for at kunne give et mere dybdegående svar senere i dag [2023-03-30].

Electron er navnet på et stort og superkomplekst, men ultrakraftigt programmeringsværktøj, der giver dig en hel browser-lignende frontend til din software, klar til brug.

For eksempel, i stedet for at vedligeholde din egen brugergrænsefladekode i C eller C++ og arbejde direkte med for eksempel MFC på Windows, Cocoa på macOS og Qt på Linux...

…du samler Electron-værktøjssættet og programmerer størstedelen af ​​din app i JavaScript, HTML og CSS, som om du byggede et websted, der ville fungere i enhver browser.

Med magt følger ansvar

Hvis du nogensinde har undret dig over, hvorfor populære app-downloads såsom Visual Studio Code, Zoom, Teams og Slack er så store, som de er, er det, fordi de alle inkluderer en build af Electron som den centrale "programmeringsmotor" for selve appen.

Den gode side af værktøjer som Electron er, at de generelt gør det nemmere (og hurtigere) at bygge apps, der ser godt ud, som fungerer på en måde, som brugerne er bekendt med, og som ikke opfører sig helt forskelligt på hvert operativsystem. .

Den dårlige side er, at der er meget mere underylende fundamentkode, som du skal trække ned fra dit eget (eller måske fra en andens) kildekodelager, hver gang du genopbygger din egen app, og selv beskedne apps ender typisk på flere hundrede megabyte i størrelse, når de er downloadet, og endnu større, når de er installeret.

Det er slemt, i hvert fald i teorien.

Løst sagt, jo større din app er, jo flere måder er der for den at gå galt.

Og selvom du sikkert er bekendt med koden, der udgør de unikke dele af din egen app, og du uden tvivl er godt placeret til at gennemgå alle ændringerne fra den ene udgivelse til den næste, er det meget mindre sandsynligt, at du har samme slags kendskab til den underliggende elektronkode, som din app er afhængig af.

Det er derfor usandsynligt, at du vil have tid til at være opmærksom på alle de ændringer, der kan være blevet introduceret i "boilerplate" Electron-delene af din bygning af teamet af open source-frivillige, der udgør selve Electron-projektet.

Angribe den store del, der er mindre kendt

Med andre ord, hvis du beholder din egen kopi af Electron-depotet, og angribere finder en vej ind i dit kildekodekontrolsystem (i 3CX's tilfælde bruger de tilsyneladende det meget populære Git software til det)...

…så kan disse angribere godt beslutte at booby-trap den næste version af din app ved at injicere deres ondsindede bits-and-pieces i elektrondelen af ​​dit kildetræ, i stedet for at prøve at rode med din egen proprietære kode.

Når alt kommer til alt, tager du sandsynligvis elektronkoden for givet, så længe den ser ud "for det meste det samme som før", og du er næsten helt sikkert bedre placeret til at spotte uønskede eller uventede tilføjelser i dit eget teams kode end i et kæmpe afhængighedstræ af kildekode, der er skrevet af en anden.

Når du gennemgår din egen virksomheds egen kode, [A] har du sikkert set den før, og [B] kan du meget vel have deltaget i de møder, hvor ændringerne nu viser sig i din adskiller sig blev drøftet og aftalt. Du er mere tilbøjelig til at blive indstillet på og mere proprietær – følsom, hvis du ønsker det – om ændringer i din egen kode, der ikke ser rigtigt ud. Det er lidt ligesom forskellen på at bemærke, at noget er galt, når du kører i din egen bil, end når du tager afsted i et lejebil i lufthavnen. Ikke at du er ligeglad med den lejede bil, fordi den ikke er din (håber vi!), men simpelthen at du ikke har den samme historie og, i mangel af et bedre ord, den samme fortrolighed med den.

Hvad skal jeg gøre?

Kort sagt, hvis du er en 3CX bruger og du har virksomhedens desktop-app på Windows eller macOS, bør du:

  • Afinstaller det med det samme. De ondsindede tilføjelser i den booby-fangede version kunne være ankommet enten i en nylig, frisk installation af appen fra 3CX eller som bivirkning af en officiel opdatering. De malware-baserede versioner blev tilsyneladende bygget og distribueret af 3CX selv, så de har de digitale signaturer, du ville forvente fra virksomheden, og de kom næsten helt sikkert fra en officiel 3CX downloadserver. Med andre ord, du er ikke immun, bare fordi du styrede uden om alternative eller uofficielle downloadsider. Kendt dårligt produkt versionsnumre kan findes i 3CX's sikkerhedsalarm.
  • Tjek din computer og dine logfiler for afslørende tegn på malware. Bare at fjerne 3CX-appen er ikke nok til at rydde op, fordi denne malware (som de fleste moderne malware) selv kan downloade og installere yderligere malware. Du kan læse mere om, hvordan malware virker faktisk på vores søsterside, Sophos News, hvor Sophos X-Ops har udgivet analyse og rådgivning for at hjælpe dig i din trusselsjagt. Denne artikel viser også de registreringsnavne, som Sophos-produkter vil bruge, hvis de finder og blokerer elementer af dette angreb i dit netværk. Du kan også finde en nyttig liste af såkaldte IoC'er, eller indikatorer for kompromis, Om SophosLabs GitHub sider. IoC'er fortæller dig, hvordan du finder beviser for, at du blev angrebet, i form af URL'er, der kan dukke op i dine logfiler, kendte dårlige filer, du kan opsøge på dine computere og mere.

BRUG FOR AT VIDE MERE? FØLG OVER IOCS, ANALYSE OG DETEKTIONSNAVNE

  • Skift til at bruge 3CX's webbaserede telefoni-app indtil videre. Virksomheden siger: "Vi anbefaler kraftigt, at du bruger vores Progressive Web App (PWA) i stedet for. PWA-appen er fuldstændig webbaseret og gør 95 % af, hvad Electron-appen gør. Fordelen er, at det ikke kræver nogen installation eller opdatering, og Chrome websikkerhed anvendes automatisk."
  • Vent på yderligere råd fra 3CX, da virksomheden finder ud af mere om, hvad der skete. 3CX har tilsyneladende allerede rapporteret de kendte dårlige URL'er, som malwaren bruger til yderligere downloads, og hævder, at "de fleste [af disse domæner] blev fjernet fra den ene dag til den anden." Virksomheden siger også, at det midlertidigt har stoppet tilgængeligheden af ​​sin Windows-app og snart vil genopbygge en ny version, der er underskrevet med en ny digital signatur. Det betyder, at alle gamle versioner kan identificeres og slettes ved eksplicit at blokere det gamle signeringscertifikat, som ikke vil blive brugt igen.
  • Hvis du ikke er sikker på, hvad du skal gøre, eller ikke har tid til at gøre det selv, skal du ikke være bange for at ringe efter hjælp. Du kan få fat i Sophos Administreret detektion og respons (MDR) eller Sophos Hurtigt svar (RR) via vores hovedhjemmeside.

Tidsstempel:

Mere fra Naked Security