اشتباه زنجیره تامین، کاربران اپلیکیشن تلفن 3CX را در معرض خطر قرار می دهد

NB نام های تشخیص می توانید بررسی کنید که آیا از محصولات و خدمات Sophos استفاده می کنید یا خیر
از در دسترس هستند تیم Sophos X-Ops در سایت خواهر ما سوفوس نیوز.

شرکت تلفن اینترنتی 3CX به مشتریان خود هشدار می دهد نرم افزارهای مخرب که ظاهراً توسط مجرمان سایبری که به نظر می‌رسد به یک یا چند مخزن کد منبع 3CX دسترسی پیدا کرده‌اند، در اپلیکیشن دسک‌تاپ 3CX خود شرکت جاسازی شده است.

همانطور که می توانید تصور کنید، با توجه به اینکه این شرکت نه تنها در تلاش است تا بفهمد چه اتفاقی افتاده است، بلکه همچنین برای تعمیر و مستندسازی اشتباهی که رخ داده است، 3CX هنوز جزئیات زیادی برای به اشتراک گذاشتن این حادثه ندارد، اما می گوید، دقیقاً در بالاترین مقام رسمی آن هشدار امنیتی:

به نظر می‌رسد این مشکل یکی از کتابخانه‌های همراهی است که ما از طریق Git در برنامه Windows Electron کامپایل کرده‌ایم.

ما هنوز در حال تحقیق در مورد این موضوع هستیم تا بتوانیم بعداً امروز پاسخ عمیق تری ارائه دهیم [2023-03-30].

Electron نام یک جعبه ابزار برنامه نویسی بزرگ و فوق پیچیده اما فوق العاده قدرتمند است که به شما یک صفحه جلویی کامل به سبک مرورگر را برای نرم افزار شما آماده می کند.

به عنوان مثال، به جای اینکه کد رابط کاربری خود را در C یا C++ نگه دارید و مستقیماً با MFC در ویندوز، Cocoa در macOS و Qt در لینوکس کار کنید…

... شما در جعبه ابزار Electron دسته بندی می کنید و بخش عمده ای از برنامه خود را در جاوا اسکریپت، HTML و CSS برنامه ریزی می کنید، به گونه ای که گویی وب سایتی می سازید که در هر مرورگری کار کند.

با قدرت مسئولیت می آید

اگر تا به حال از خود پرسیده اید که چرا دانلودهای برنامه های محبوب مانند Visual Studio Code، Zoom، Teams و Slack به همان اندازه بزرگ هستند، به این دلیل است که همه آنها شامل ساختی از Electron به عنوان "موتور برنامه نویسی" اصلی برای خود برنامه هستند.

جنبه خوب ابزارهایی مانند Electron این است که به طور کلی ساخت برنامه هایی را آسان تر (و سریع تر) می کنند که ظاهر خوبی داشته باشند، به گونه ای کار کنند که کاربران با آن آشنایی کامل داشته باشند، و در هر سیستم عامل متفاوت رفتار کاملاً متفاوتی ندارند. .

جنبه بد این است که هر بار که برنامه خود را بازسازی می کنید، کدهای پایه بسیار بیشتری وجود دارد که باید آنها را از مخزن کد منبع خود (یا شاید از شخص دیگری) بردارید، و حتی برنامه های ساده معمولاً چند صد مگابایت دارند. اندازه آنها هنگام دانلود و حتی بزرگتر بعد از نصب.

این بد است، حداقل در تئوری.

به زبان ساده، هرچه برنامه شما بزرگتر باشد، راه های بیشتری برای اشتباه کردن آن وجود دارد.

و در حالی که احتمالاً با کدی که بخش های منحصر به فرد برنامه خود را تشکیل می دهد آشنا هستید، و بدون شک در موقعیت مناسبی برای بررسی همه تغییرات از یک نسخه به نسخه بعدی هستید، احتمال اینکه شما این برنامه را داشته باشید بسیار کمتر است. همان نوع آشنایی با کد الکترونیکی زیرین که برنامه شما به آن متکی است.

بنابراین بعید است که بتوانید به تمام تغییراتی که ممکن است توسط تیم داوطلبان منبع باز که خود پروژه الکترون را تشکیل می‌دهند، در بخش‌های الکترون «بویلرپلیت» ساخت شما توجه کنید.

به بخش بزرگی که کمتر شناخته شده است حمله کنید

به عبارت دیگر، اگر نسخه‌ای از مخزن Electron را نگه می‌دارید، و مهاجمان راهی برای ورود به سیستم کنترل کد منبع شما پیدا می‌کنند (در مورد 3CX، ظاهراً از ابزار بسیار محبوب استفاده می‌کنند. رفتن نرم افزار برای آن)…

سپس آن مهاجمان ممکن است تصمیم بگیرند که نسخه بعدی برنامه شما را با تزریق قطعات مخرب خود به قسمت Electron درخت منبع شما، به‌جای اینکه سعی کنند کد اختصاصی شما را خراب کنند، به دام بمب گذاری کنند.

به هر حال، احتمالاً تا زمانی که کد Electron به نظر «بیشتر شبیه به قبل» باشد، مسلم می‌شوید، و تقریباً مطمئناً در موقعیت بهتری برای تشخیص اضافات ناخواسته یا غیرمنتظره در کد تیم خود هستید تا در درخت وابستگی غول‌پیکر. کد منبعی که توسط شخص دیگری نوشته شده است.

هنگامی که در حال بررسی کد شرکت خود هستید، [A] احتمالاً قبلاً آن را دیده اید، و [B] ممکن است در جلساتی شرکت کرده باشید که در آن تغییرات اکنون در شما نشان داده شده است. متفاوت است مورد بحث و توافق قرار گرفت. شما به احتمال زیاد در مورد تغییراتی که در کد خود درست به نظر نمی رسند - حساس تر - در صورت تمایل- حساس تر هستید. این تفاوت کمی شبیه تفاوت بین این است که وقتی ماشین شخصی خود را رانندگی می کنید، چیزی غیرعادی است تا زمانی که با یک وسیله نقلیه کرایه ای در فرودگاه حرکت می کنید. نه اینکه به ماشین اجاره‌ای اهمیتی نمی‌دهید، زیرا مال شما نیست (امیدواریم!)، بلکه به این دلیل است که شما همان تاریخچه را ندارید و به دلیل نیاز به یک کلمه بهتر، همان صمیمیت با آن را ندارید.

چه کاری انجام دهید؟

به عبارت ساده، اگر شما یک کاربر 3CX و شما برنامه دسکتاپ این شرکت را در ویندوز یا macOS دارید، باید:

• بلافاصله آن را حذف کنید. افزونه‌های مخرب در نسخه انفجاری می‌توانند در نصب جدید و جدید برنامه از 3CX یا به عنوان اثر جانبی یک به‌روزرسانی رسمی وارد شوند. نسخه‌های حاوی بدافزار ظاهراً توسط خود 3CX ساخته و توزیع شده‌اند، بنابراین دارای امضای دیجیتالی هستند که از این شرکت انتظار دارید، و تقریباً مطمئناً از یک سرور رسمی دانلود 3CX آمده‌اند. به عبارت دیگر، شما فقط به این دلیل که از سایت های دانلود جایگزین یا غیر رسمی دوری کرده اید مصون نیستید. محصول بد شناخته شده شماره های نسخه را می توان در هشدار امنیتی 3CX یافت.
• رایانه و گزارش های خود را برای نشانه های آشکار بدافزار بررسی کنید. فقط حذف برنامه 3CX برای پاکسازی کافی نیست، زیرا این بدافزار (مانند اکثر بدافزارهای معاصر) می تواند به خودی خود بدافزار اضافی را دانلود و نصب کند. می توانید در مورد چگونگی بدافزار در واقع کار می کند در سایت خواهر ما، Sophos News، جایی که Sophos X-Ops منتشر کرده است تحلیل و مشاوره برای کمک به شما در شکار تهدید. این مقاله همچنین نام‌های تشخیصی را که محصولات Sophos در صورت یافتن و مسدود کردن عناصر این حمله در شبکه شما استفاده می‌کنند، فهرست می‌کند. شما همچنین می توانید یک را پیدا کنید لیست مفید به اصطلاح IoC یا شاخص های سازش، در SophosLabs GitHub صفحات IoC ها به شما می گویند که چگونه شواهدی را که مورد حمله قرار گرفته اید، پیدا کنید، به شکل URL هایی که ممکن است در گزارش های شما نشان داده شوند، فایل های شناخته شده بد برای جستجو در رایانه شما و موارد دیگر.

---

آیا نیاز به دانستن بیشتر دارید؟ IOCS، آنالیز و اسامی تشخیص را ردیابی کنید

---

• فعلاً به استفاده از برنامه تلفن مبتنی بر وب 3CX بروید. این شرکت می‌گوید: «ما قویاً پیشنهاد می‌کنیم که به جای آن از برنامه وب پیشرو ما (PWA) استفاده کنید. برنامه PWA کاملاً مبتنی بر وب است و 95٪ از کارهایی که برنامه Electron انجام می دهد را انجام می دهد. مزیت آن این است که نیازی به نصب یا به‌روزرسانی ندارد و امنیت وب کروم به صورت خودکار اعمال می‌شود.»
• منتظر راهنمایی بیشتر از 3CX باشید زیرا این شرکت در مورد آنچه اتفاق افتاده است مطلع می شود. ظاهراً 3CX قبلاً URL های بد شناخته شده ای را که بدافزار برای بارگیری های بیشتر استفاده می کند، گزارش کرده است و ادعا می کند که "اکثر [این دامنه ها] یک شبه حذف شده اند." این شرکت همچنین می گوید که به طور موقت در دسترس بودن برنامه ویندوز خود را متوقف کرده است و به زودی نسخه جدیدی را که با امضای دیجیتال جدید امضا شده است، بازسازی خواهد کرد. این بدان معناست که هر نسخه قدیمی را می‌توان با فهرست‌بندی صریح گواهی امضای قدیمی شناسایی و پاکسازی کرد، که دیگر استفاده نخواهد شد.
• اگر مطمئن نیستید چه کاری باید انجام دهید، یا زمان انجام آن را خودتان ندارید، از تماس گرفتن برای کمک نترسید. می توانید Sophos را در دست بگیرید شناسایی و پاسخ مدیریت شده (MDR) یا Sophos پاسخ سریع (RR) از طریق وب سایت اصلی ما.

---

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://nakedsecurity.sophos.com/2023/03/30/supply-chain-blunder-puts-3cx-telephone-app-users-at-risk/