Toimitusketjun virhe asettaa 3CX-puhelinsovelluksen käyttäjät vaaraan

Toimitusketjun virhe asettaa 3CX-puhelinsovelluksen käyttäjät vaaraan

Aikaleima: 30. maaliskuuta 2023 1
Lähdesolmu: 2552567
by Paul Ducklin

HUOM. Tunnistuksen nimet voit tarkistaa, käytätkö Sophos-tuotteita ja -palveluita
ovat saatavilla Sophos X-Ops -tiimi siskosivustossamme Sophos-uutiset.

Internet-puhelinyhtiö 3CX varoittaa asiakkaitaan haittaohjelmat Verkkorikolliset, jotka näyttävät saaneen pääsyn yhteen tai useampaan 3CX:n lähdekoodivarastoihin, ilmeisesti valitsivat sen yrityksen omaan 3CX Desktop App -sovellukseen.

Kuten voitte kuvitella, koska yritys ei vain yritä selvittääkseen, mitä tapahtui, vaan myös korjatakseen ja dokumentoidakseen sen, mikä meni pieleen, 3CX:llä ei ole vielä paljon kerrottavaa tapauksesta, mutta se toteaa, että virkamiehensä huipulla turvallisuushälytys:

Ongelma näyttää olevan yksi paketoiduista kirjastoista, jotka käänsimme Windows Electron -sovellukseen Gitin kautta.

Tutkimme asiaa edelleen, jotta voimme antaa tarkemman vastauksen myöhemmin tänään [2023-03-30].

Electron on suuren ja erittäin monimutkaisen mutta erittäin tehokkaan ohjelmointityökalusarjan nimi, joka antaa sinulle koko selaintyyppisen käyttöliittymän ohjelmistollesi, valmiina käyttöön.

Esimerkiksi sen sijaan, että ylläpitäisit omaa käyttöliittymäkoodiasi C- tai C++-kielellä ja työskentelet suoraan esimerkiksi MFC:n kanssa Windowsissa, Cocoan kanssa macOS:ssä ja Qt:n kanssa Linuxissa…

…niputat Electron-työkalupakkiin ja ohjelmoit suurimman osan sovelluksestasi JavaScriptillä, HTML:llä ja CSS:llä, aivan kuin rakentaisit verkkosivustoa, joka toimisi millä tahansa selaimella.

Vallan mukana tulee vastuu

Jos olet koskaan miettinyt, miksi suositut sovelluslataukset, kuten Visual Studio Code, Zoom, Teams ja Slack, ovat yhtä suuria kuin ne ovat, se johtuu siitä, että ne kaikki sisältävät Electronin koontiversion itse sovelluksen ”ohjelmointimoottoriksi”.

Electronin kaltaisten työkalujen hyvä puoli on, että ne yleensä helpottavat (ja nopeuttavat) sellaisten sovellusten luomista, jotka näyttävät hyviltä, ​​toimivat tavalla, jonka käyttäjät tuntevat laajalti ja jotka eivät toimi täysin eri tavalla eri käyttöjärjestelmissä. .

Huono puoli on, että taustalla on paljon enemmän peruskoodia, joka sinun on poistettava omasta (tai kenties jonkun muun) lähdekoodivarastosta joka kerta, kun rakennat oman sovelluksesi uudelleen, ja vaatimattomatkin sovellukset päätyvät yleensä useisiin satoihin megatavuihin. kooltaan, kun ne ladataan, ja vielä suurempia asennuksen jälkeen.

Se on huono, ainakin teoriassa.

Löyhästi sanottuna, mitä suurempi sovelluksesi, sitä useammin se voi mennä pieleen.

Ja vaikka olet todennäköisesti perehtynyt koodiin, joka muodostaa oman sovelluksesi ainutlaatuiset osat, ja sinulla on epäilemättä hyvät mahdollisuudet tarkistaa kaikki muutokset julkaisusta toiseen, on paljon epätodennäköisempää, että sinulla on samanlainen tuntemus taustalla olevaan Electron-koodiin, johon sovelluksesi perustuu.

Siksi on epätodennäköistä, että sinulla on aikaa kiinnittää huomiota kaikkiin muutoksiin, jotka itse Electron-projektin muodostava avoimen lähdekoodin vapaaehtoisten ryhmä on saattanut tehdä rakennuksesi "kattilalevyn" Electron-osiin.

Hyökkää vähemmän tunnettua isoa osaa vastaan

Toisin sanoen, jos pidät omaa kopiotasi Electron-varastosta ja hyökkääjät löytävät tien lähdekoodinhallintajärjestelmääsi (3CX:n tapauksessa he ilmeisesti käyttävät erittäin suosittua mennä ohjelmisto siihen)…

… silloin nämä hyökkääjät saattavat päättää ansaita sovelluksesi seuraavan version syöttämällä haitalliset palansa lähdepuusi Electron-osaan sen sijaan, että yrittäisivät sotkea omaa koodiasi.

Loppujen lopuksi pidät Electron-koodia itsestäänselvyytenä niin kauan kuin se näyttää "enimmäkseen samalta kuin ennen", ja sinulla on lähes varmasti paremmat mahdollisuudet havaita ei-toivotut tai odottamattomat lisäykset oman tiimisi koodissa kuin valtavassa riippuvuuspuussa. jonkun muun kirjoittama lähdekoodi.

Kun tarkastelet oman yrityksesi omaa koodia, [A] olet luultavasti nähnyt sen aiemmin, ja [B] olet saattanut hyvinkin osallistua kokouksiin, joissa muutokset näkyvät nyt vertailuissa keskusteltiin ja sovittiin. Olet todennäköisemmin viritetty ja omistautuneempi – halutessasi herkkä – muutokset omassa koodissasi, jotka eivät näytä oikealta. Se on vähän kuin ero sen välillä, että huomaat, että jokin on epäselvää ajaessasi omalla autollasi, kuin silloin, kun lähdet vuokra-autolla lentokentälle. Ei sillä, että et välitä vuokra-autosta, koska se ei ole sinun (toivomme!), vaan yksinkertaisesti se, että sinulla ei ole samaa historiaa ja paremman sanan puutteessa samaa läheisyyttä sen kanssa.

Mitä tehdä?

Yksinkertaisesti sanottuna, jos olet a 3CX käyttäjä ja sinulla on yrityksen työpöytäsovellus Windowsissa tai macOS:ssä, sinun tulee:

  • Poista se heti. Haitalliset lisäosat booby-trapped-versiossa ovat saattaneet saapua joko äskettäin tuoreessa sovelluksen asennuksessa 3CX:stä tai virallisen päivityksen sivuvaikutuksena. Haittaohjelmien sisältämät versiot ilmeisesti rakensi ja jakeli 3CX itse, joten niillä on yritykseltä odottamasi digitaaliset allekirjoitukset, ja ne tulivat lähes varmasti viralliselta 3CX-latauspalvelimelta. Toisin sanoen et ole immuuni vain siksi, että vältyt vaihtoehtoisista tai epävirallisista lataussivustoista. Tunnetusti huono tuote versionumerot löytyy 3CX:n turvahälytyksestä.
  • Tarkista tietokoneestasi ja lokeistasi haittaohjelmien ilmaisimia. Pelkkä 3CX-sovelluksen poistaminen ei riitä puhdistamiseen, koska tämä haittaohjelma (kuten useimmat nykyaikaiset haittaohjelmat) voi itse ladata ja asentaa lisää haittaohjelmia. Voit lukea lisää siitä, miten haittaohjelmat todella toimivat sisarsivustollamme Sophos News, jossa Sophos X-Ops on julkaissut analyysi ja neuvonta auttamaan sinua uhkien metsästämisessä. Tuossa artikkelissa luetellaan myös tunnistusnimet, joita Sophos-tuotteet käyttävät, jos ne löytävät ja estävät tämän hyökkäyksen elementtejä verkossasi. Löydät myös a hyödyllinen lista ns. IoC:t tai kompromissin indikaattoritPuolesta SophosLabs GitHub sivuja. IoC:t kertovat sinulle, kuinka voit löytää todisteita, joita vastaan ​​on hyökätty, esimerkiksi URL-osoitteiden, jotka saattavat näkyä lokeissasi, tunnetuissa huonoissa tiedostoissa, joita etsit tietokoneiltasi, ja paljon muuta.

PITÄÄ TIETÄÄ LISÄÄ? SEURAA IOCS-, ANALYYSI- JA TUNNISTUSNIMET

  • Vaihda toistaiseksi käyttämään 3CX:n verkkopohjaista puhelinsovellusta. Yritys sanoo: "Suosittelemme, että käytät Progressive Web App (PWA) -sovellustamme sen sijaan. PWA-sovellus on täysin verkkopohjainen ja tekee 95 % siitä, mitä Electron-sovellus tekee. Etuna on, että se ei vaadi asennusta tai päivitystä ja Chromen verkkosuojaus otetaan käyttöön automaattisesti."
  • Odota lisäneuvoja 3CX:ltä, kun yritys saa lisätietoja tapahtuneesta. 3CX on ilmeisesti jo raportoinut tunnetuista huonoista URL-osoitteista, joita haittaohjelma käyttää jatkolatauksiin, ja väittää, että "suurin osa [näistä verkkotunnuksista] poistettiin yhdessä yössä." Yhtiö sanoo myös lopettaneensa väliaikaisesti Windows-sovelluksensa saatavuuden ja rakentavansa pian uudelleen uuden version, joka on allekirjoitettu uudella digitaalisella allekirjoituksella. Tämä tarkoittaa, että kaikki vanhat versiot voidaan tunnistaa ja tyhjentää lisäämällä estoluetteloon vanha allekirjoitusvarmenne, jota ei käytetä uudelleen.
  • Jos et ole varma, mitä tehdä, tai sinulla ei ole aikaa tehdä sitä itse, älä pelkää kutsua apua. Voit hankkia Sophoksen Hallittu havaitseminen ja reagointi (MDR) tai Sophos Nopea vastaus (RR) pääsivustomme kautta.

Aikaleima:

Lisää aiheesta Naked Security