Az ellátási lánc baklövése veszélybe sodorja a 3CX telefonos alkalmazás felhasználóit

Az ellátási lánc baklövése veszélybe sodorja a 3CX telefonos alkalmazás felhasználóit

Időbélyeg: 30. március 2023. 1:36
Forrás csomópont: 2552567
by Paul Ducklin

NB. Észlelési nevek ellenőrizheti, hogy használja-e a Sophos termékeket és szolgáltatásokat
elérhetőek a Sophos X-Ops csapata testvéroldalunkon Sophos News.

A 3CX internetes telefontársaság figyelmezteti ügyfeleit malware amelyet nyilvánvalóan a kiberbûnözõk vittek be a cég saját 3CX asztali alkalmazásába, akik úgy tûnik, hozzáférést szereztek a 3CX egy vagy több forráskód-tárolójához.

Elképzelhető, mivel a cég nem csak a történtek kiderítésére törekszik, hanem a hiba javítására és dokumentálására is, a 3CX egyelőre nem tud sok részletet megosztani az incidensről, de azt állítja, hogy hivatalosságának legteteje biztonsági riasztás:

Úgy tűnik, hogy a probléma egyike azon kötegelt könyvtáraknak, amelyeket a Git segítségével a Windows Electron alkalmazásba fordítottunk.

Még mindig kutatjuk az ügyet, hogy részletesebb választ tudjunk adni a mai napon [2023-03-30].

Az Electron egy nagy és rendkívül összetett, de rendkívül erős programozási eszközkészlet neve, amely teljes, böngésző-stílusú kezelőfelületet biztosít a szoftverhez, használatra készen.

Például ahelyett, hogy fenntartaná a saját felhasználói felület kódját C vagy C++ nyelven, és közvetlenül működne, mondjuk, az MFC-vel Windowson, a Cocoa-val MacOS-en és a Qt-vel Linuxon…

…összecsomagolja az Electron eszközkészletet, és az alkalmazás nagy részét JavaScript, HTML és CSS nyelven programozza, mintha olyan webhelyet készítene, amely bármilyen böngészőben működik.

A hatalommal együtt jár a felelősség is

Ha valaha is elgondolkozott már azon, hogy a népszerű alkalmazásletöltések, például a Visual Studio Code, a Zoom, a Teams és a Slack miért olyan nagyok, mint amilyenek, ez azért van, mert mindegyik tartalmaz egy Electron buildet, mint magának az alkalmazásnak a „programozási motorját”.

Az olyan eszközök jó oldala, mint például az Electron, hogy általában megkönnyítik (és gyorsabbá) olyan alkalmazások készítését, amelyek jól néznek ki, amelyek a felhasználók által ismert módon működnek, és nem viselkednek teljesen eltérően az egyes operációs rendszereken. .

A rossz oldala az, hogy sokkal több mögöttes alapkód található, amelyet minden alkalommal le kell húznia a saját (vagy esetleg valaki más) forráskód-tárházából, amikor újjáépíti saját alkalmazását, és még a szerény alkalmazások is általában több száz megabájtos méretűek. méretben, amikor letöltik őket, és még nagyobbak a telepítés után.

Ez rossz, legalábbis elméletben.

Lazán szólva: minél nagyobb az alkalmazásod, annál több lehetőség van a hibára.

És bár valószínűleg ismeri a saját alkalmazásának egyedi részeit alkotó kódot, és kétségtelenül jó helyzetben van ahhoz, hogy áttekintse az egyik kiadásról a másikra vonatkozó változtatásokat, sokkal kevésbé valószínű, hogy ugyanúgy ismeri a mögöttes Electron kódot, amelyre az alkalmazás támaszkodik.

Ezért nem valószínű, hogy lesz ideje odafigyelni mindazon változtatásokra, amelyeket az Electron projektet alkotó nyílt forráskódú önkéntesekből álló csapat bevezethetett építményének „boilerplate” Electron részeibe.

Támadd meg azt a nagyot, ami kevésbé ismert

Más szóval, ha megtartod a saját példányodat az Electron adattárról, és a támadók utat találnak a forráskód-vezérlő rendszeredbe (a 3CX esetében nyilvánvalóan a nagyon népszerű megy szoftver ehhez)…

…akkor ezek a támadók úgy dönthetnek, hogy becsapják az alkalmazás következő verzióját azáltal, hogy rosszindulatú darabjaikat a forrásfa Electron részébe fecskendezik, ahelyett, hogy a saját védett kódjával próbálnának rontani.

Végtére is, valószínűleg természetesnek tekinti az Electron kódot, amíg „többnyire ugyanúgy néz ki, mint korábban”, és szinte bizonyosan jobb helyzetben van, hogy észrevegye a nem kívánt vagy váratlan kiegészítéseket a saját csapata kódjában, mint egy óriási függőségi fájában. valaki más által írt forráskód.

Amikor a saját cége kódját tekinti át, [A] valószínűleg már korábban is látta, [B] pedig nagyon jól lehet, hogy részt vett azokon a találkozókon, amelyeken a változások most megjelennek diff megbeszélték és megállapodtak. Valószínűbb, hogy ráhangolódnak a saját kódjában végrehajtott, nem megfelelőnek tűnő változtatásokra, és sokkal érzékenyebbek lesznek – ha kívánja – érzékenyebben. Ez egy kicsit olyan, mint a különbség aközött, hogy észreveszi, hogy valami nem stimmel, amikor saját autót vezet, mint amikor bérelt járművel indul a repülőtéren. Nem mintha nem érdekelne a bérelt autó, mert nem a tiéd (reméljük!), hanem egyszerűen arról, hogy nem ugyanaz a múltja, és jobb híján nem ugyanaz az intimitás vele.

Mit kell tenni?

Egyszerűen fogalmazva, ha Ön a 3CX felhasználó és ha a vállalat asztali alkalmazását használja Windows vagy macOS rendszeren, akkor a következőket kell tennie:

  • Azonnal távolítsa el. A csapdába esett verzió rosszindulatú kiegészítői vagy az alkalmazás friss, 3CX-ről történő telepítése során, vagy egy hivatalos frissítés mellékhatásaként érkezhettek. A rosszindulatú programokkal tarkított verziókat láthatóan maga a 3CX építette és terjesztette, tehát a cégtől elvárható digitális aláírásokkal rendelkeznek, és szinte biztos, hogy egy hivatalos 3CX letöltő szerverről származnak. Más szóval, nem vagy immunis csak azért, mert elkerülte az alternatív vagy nem hivatalos letöltési oldalakat. Ismert rossz termék verziószámok megtalálható a 3CX biztonsági figyelmeztetésében.
  • Ellenőrizze a számítógépét és a naplóit a rosszindulatú programra utaló jelekre. A 3CX alkalmazás eltávolítása nem elegendő a tisztításhoz, mert ez a rosszindulatú program (mint a legtöbb kortárs rosszindulatú program) maga is letölthet és telepíthet további kártevőket. Bővebben olvashat arról, hogyan a malware valóban működik testvéroldalunkon, a Sophos News-on, ahol a Sophos X-Ops publikált elemzés és tanácsadás hogy segítsen a fenyegetésvadászatban. Ez a cikk felsorolja azokat az észlelési neveket is, amelyeket a Sophos termékek akkor fognak használni, ha megtalálják és blokkolják a támadás bármely elemét a hálózaton. Megtalálható még a hasznos lista az úgynevezett IoC-k, ill a kompromisszum mutatói, Be a SophosLabs GitHub oldalakat. Az IoC-k megmondják, hogyan találhat bizonyítékot, hogy megtámadták, például URL-címek, amelyek megjelenhetnek a naplókban, ismert hibás fájlok, amelyeket meg kell keresni a számítógépein, stb.

TÖBBET KELL TUDNI? KÖVESSE KÖVETÉSE AZ IOCS, AZ ELEMZÉS ÉS ÉSZLELÉS NEVEKET

  • Egyelőre váltson a 3CX webalapú telefonalkalmazására. A cég azt mondja: „Erősen javasoljuk, hogy inkább a Progressive Web App (PWA) alkalmazásunkat használja. A PWA alkalmazás teljesen webalapú, és az Electron alkalmazás 95%-át teszi. Előnye, hogy nem igényel telepítést vagy frissítést, és a Chrome webes biztonsága automatikusan alkalmazásra kerül.”
  • Várja meg a 3CX további tanácsát, mivel a cég többet megtud a történtekről. A 3CX láthatóan már beszámolt az ismert rossz URL-ekről, amelyeket a rosszindulatú program további letöltésekhez használ, és azt állítja, hogy „[a domainek többségét] egyik napról a másikra eltávolították”. A vállalat azt is közölte, hogy ideiglenesen leállította a Windows alkalmazás elérhetőségét, és hamarosan új verziót épít, amely új digitális aláírással van aláírva. Ez azt jelenti, hogy minden régi verzió azonosítható és törölhető a régi aláíró tanúsítvány kifejezetten tiltólistájával, amely nem kerül újra felhasználásra.
  • Ha nem tudja, mit tegyen, vagy nincs ideje saját maga megcsinálni, ne féljen segítséget hívni. Megkaphatod a Sophost Felügyelt észlelés és válasz (MDR) vagy Sophos Gyors válasz (RR) fő weboldalunkon keresztül.

Időbélyeg:

Még több Meztelen biztonság