Error en la cadena de suministro pone en riesgo a los usuarios de la aplicación telefónica 3CX

Error en la cadena de suministro pone en riesgo a los usuarios de la aplicación telefónica 3CX

Marca de tiempo: 30 de marzo de 2023 1:36 p.m.
Nodo de origen: 2552567
by Paul patito

NB. Nombres de detección puede comprobar si utiliza los productos y servicios de Sophos
están disponibles en el Equipo X-Ops de Sophos en nuestro sitio hermano Novedades de Sophos.

La empresa de telefonía por Internet 3CX advierte a sus clientes de el malware que aparentemente fue infiltrado en la propia aplicación de escritorio 3CX de la compañía por ciberdelincuentes que parecen haber adquirido acceso a uno o más de los repositorios de código fuente de 3CX.

Como se puede imaginar, dado que la compañía está luchando no solo para descubrir qué sucedió, sino también para reparar y documentar lo que salió mal, 3CX aún no tiene muchos detalles para compartir sobre el incidente, pero sí afirma, justo en la parte superior de su oficial alerta de seguridad:

El problema parece ser una de las bibliotecas incluidas que compilamos en la aplicación Windows Electron a través de Git.

Todavía estamos investigando el asunto para poder brindar una respuesta más detallada más tarde hoy [2023-03-30].

Electron es el nombre de un conjunto de herramientas de programación grande y supercomplejo pero ultrapotente que le brinda una interfaz completa de estilo de navegador para su software, lista para usar.

Por ejemplo, en lugar de mantener su propio código de interfaz de usuario en C o C++ y trabajar directamente con MFC en Windows, Cocoa en macOS y Qt en Linux...

…usted incluye el kit de herramientas de Electron y programa la mayor parte de su aplicación en JavaScript, HTML y CSS, como si estuviera creando un sitio web que funcionaría en cualquier navegador.

Con el poder viene la responsabilidad

Si alguna vez se ha preguntado por qué las descargas de aplicaciones populares como Visual Studio Code, Zoom, Teams y Slack son tan grandes, es porque todas incluyen una compilación de Electron como el "motor de programación" principal de la aplicación.

El lado bueno de herramientas como Electron es que generalmente hacen que sea más fácil (y rápido) crear aplicaciones que se vean bien, que funcionen de una manera que los usuarios ya estén familiarizados y que no se comporten de manera completamente diferente en cada sistema operativo diferente. .

El lado malo es que hay mucho más código base subyacente que necesita extraer de su propio repositorio de código fuente (o quizás del de otra persona) cada vez que reconstruye su propia aplicación, e incluso las aplicaciones modestas generalmente terminan en varios cientos de megabytes. en tamaño cuando se descargan, y aún más grandes después de que se instalan.

Eso es malo, al menos en teoría.

Hablando en términos generales, cuanto más grande sea su aplicación, más formas habrá de que salga mal.

Y aunque probablemente esté familiarizado con el código que compone las partes únicas de su propia aplicación, y sin duda está bien ubicado para revisar todos los cambios de una versión a la siguiente, es mucho menos probable que tenga la mismo tipo de familiaridad con el código Electron subyacente en el que se basa su aplicación.

Por lo tanto, es poco probable que tenga tiempo para prestar atención a todos los cambios que el equipo de voluntarios de código abierto que conforman el proyecto Electron puede haber introducido en las partes "repetitivas" de Electron de su compilación.

Ataca lo grande que es menos conocido

En otras palabras, si mantiene su propia copia del repositorio de Electron y los atacantes encuentran una forma de ingresar a su sistema de control de código fuente (en el caso de 3CX, aparentemente están usando el muy popular Git software para eso)…

… entonces esos atacantes bien podrían decidir poner una trampa en la próxima versión de su aplicación inyectando sus fragmentos maliciosos en la parte de Electron de su árbol fuente, en lugar de intentar meterse con su propio código propietario.

Después de todo, es probable que des por sentado el código de Electron siempre y cuando se vea "prácticamente igual que antes", y casi seguro que estás en una mejor posición para detectar adiciones no deseadas o inesperadas en el código de tu propio equipo que en un árbol gigante de dependencias. código fuente que fue escrito por otra persona.

Cuando esté revisando el código de su propia empresa, [A] probablemente lo haya visto antes, y [B] es posible que haya asistido a las reuniones en las que ahora se muestran los cambios en su diferencias fueron discutidos y acordados. Es más probable que esté sintonizado y sea más propietario, sensible, si lo desea, sobre los cambios en su propio código que no se ven bien. Es un poco como la diferencia entre notar que algo está fuera de lugar cuando conduce su propio automóvil que cuando se pone en marcha en un vehículo alquilado en el aeropuerto. No es que no te importe el coche alquilado porque no es tuyo (¡esperamos!), sino simplemente que no tienes la misma historia y, a falta de una palabra mejor, la misma intimidad con él.

¿Qué hacer?

En pocas palabras, si eres un usuario 3CX y tiene la aplicación de escritorio de la empresa en Windows o macOS, debe:

  • Desinstálelo de inmediato. Los complementos maliciosos en la versión trampa podrían haber llegado ya sea en una instalación nueva y reciente de la aplicación de 3CX, o como efecto secundario de una actualización oficial. Aparentemente, las versiones con malware fueron creadas y distribuidas por 3CX, por lo que tienen las firmas digitales que esperaría de la compañía, y casi con certeza provienen de un servidor de descarga oficial de 3CX. En otras palabras, no es inmune solo porque se mantuvo alejado de los sitios de descarga alternativos o no oficiales. Producto conocido como malo números de versión se puede encontrar en la alerta de seguridad de 3CX.
  • Revise su computadora y sus registros en busca de signos reveladores del malware. Simplemente eliminar la aplicación 3CX no es suficiente para limpiar, porque este malware (como la mayoría de los malware contemporáneos) puede descargar e instalar malware adicional. Puede leer más acerca de cómo el el malware realmente funciona en nuestro sitio hermano, Sophos News, donde Sophos X-Ops ha publicado análisis y asesoramiento para ayudarle en su búsqueda de amenazas. Ese artículo también enumera los nombres de detección que usarán los productos de Sophos si encuentran y bloquean cualquier elemento de este ataque en su red. También puedes encontrar un lista útil de los llamados IoC, o indicadores de compromiso, En la Sophos Labs GitHub paginas Los IoC le dicen cómo encontrar evidencia de que fue atacado, en forma de URL que pueden aparecer en sus registros, archivos conocidos para buscar en sus computadoras y más.

¿NECESITA SABER MÁS? MANTENGA UN REGISTRO DE IOCS, ANÁLISIS Y NOMBRES DE DETECCIÓN

  • Cambie a usar la aplicación de telefonía basada en web de 3CX por ahora. La compañía dice: “Le sugerimos encarecidamente que utilice nuestra aplicación web progresiva (PWA) en su lugar. La aplicación PWA está completamente basada en la web y hace el 95% de lo que hace la aplicación Electron. La ventaja es que no requiere instalación ni actualización y la seguridad web de Chrome se aplica automáticamente”.
  • Espere más consejos de 3CX a medida que la empresa descubra más sobre lo que sucedió. Aparentemente, 3CX ya ha informado sobre las URL mal conocidas que utiliza el malware para futuras descargas, y afirma que "la mayoría [de estos dominios] fueron eliminados de la noche a la mañana". La compañía también dice que suspendió temporalmente la disponibilidad de su aplicación de Windows y pronto reconstruirá una nueva versión firmada con una nueva firma digital. Esto significa que cualquier versión anterior puede identificarse y eliminarse bloqueando explícitamente el certificado de firma anterior, que no se volverá a utilizar.
  • Si no está seguro de qué hacer o no tiene tiempo para hacerlo usted mismo, no tema pedir ayuda. Puedes hacerte con Sophos Detección y respuesta gestionadas (MDR) o Sophos Respuesta rápida (RR) a través de nuestro sitio web principal.

Sello de tiempo:

Mas de Seguridad desnuda