Kesalahan rantai pasokan membahayakan pengguna aplikasi telepon 3CX

Kesalahan rantai pasokan membahayakan pengguna aplikasi telepon 3CX

Stempel Waktu: 30 Maret 2023 1
Node Sumber: 2552567
by Paul Bebek

catatan Nama deteksi Anda dapat memeriksa apakah Anda menggunakan produk dan layanan Sophos
tersedia dari Tim Sophos X-Ops di situs saudari kita Berita Sophos.

Perusahaan telepon internet 3CX memperingatkan pelanggannya malware yang tampaknya dimasukkan ke dalam Aplikasi Desktop 3CX milik perusahaan oleh penjahat dunia maya yang tampaknya telah memperoleh akses ke satu atau lebih repositori kode sumber 3CX.

Seperti yang dapat Anda bayangkan, mengingat bahwa perusahaan berebut tidak hanya untuk mencari tahu apa yang terjadi, tetapi juga untuk memperbaiki dan mendokumentasikan apa yang salah, 3CX belum memiliki banyak detail untuk dibagikan tentang insiden tersebut, tetapi menyatakan, tepat di pejabat paling atas peringatan keamanan:

Masalahnya tampaknya adalah salah satu pustaka yang dibundel yang kami kompilasi ke dalam Aplikasi Windows Electron melalui Git.

Kami masih meneliti masalah ini untuk dapat memberikan tanggapan yang lebih mendalam hari ini [2023-03-30].

Elektron adalah nama alat pemrograman yang besar dan super kompleks namun sangat kuat yang memberi Anda ujung depan gaya browser menyeluruh untuk perangkat lunak Anda, siap digunakan.

Misalnya, alih-alih mempertahankan kode antarmuka pengguna Anda sendiri di C atau C++ dan bekerja langsung dengan, katakanlah, MFC di Windows, Kakao di macOS, dan Qt di Linux…

…Anda memaketkannya dalam perangkat Elektron dan memprogram sebagian besar aplikasi Anda dalam JavaScript, HTML, dan CSS, seolah-olah Anda sedang membuat situs web yang akan berfungsi di browser apa pun.

Dengan kekuatan datang tanggung jawab

Jika Anda pernah bertanya-tanya mengapa unduhan aplikasi populer seperti Visual Studio Code, Zoom, Teams, dan Slack sebesar itu, itu karena semuanya menyertakan build Electron sebagai "mesin pemrograman" inti untuk aplikasi itu sendiri.

Sisi baik dari alat seperti Electron adalah bahwa mereka umumnya membuatnya lebih mudah (dan lebih cepat) untuk membangun aplikasi yang terlihat bagus, yang bekerja dengan cara yang sudah dikenal pengguna, dan yang tidak berperilaku sangat berbeda pada setiap sistem operasi yang berbeda. .

Sisi buruknya adalah ada lebih banyak kode dasar dasar yang perlu Anda tarik dari repositori kode sumber Anda sendiri (atau mungkin dari orang lain) setiap kali Anda membangun kembali aplikasi Anda sendiri, dan bahkan aplikasi sederhana biasanya berakhir beberapa ratus megabita dalam ukuran saat diunduh, dan bahkan lebih besar setelah dipasang.

Itu buruk, setidaknya secara teori.

Secara umum, semakin besar aplikasi Anda, semakin banyak kesalahan yang terjadi.

Dan meskipun Anda mungkin akrab dengan kode yang membentuk bagian unik dari aplikasi Anda sendiri, dan Anda pasti berada di posisi yang tepat untuk meninjau semua perubahan dari satu rilis ke rilis berikutnya, kecil kemungkinannya Anda memiliki jenis keakraban yang sama dengan kode Electron yang mendasari aplikasi Anda.

Oleh karena itu, kecil kemungkinannya Anda akan memiliki waktu untuk memperhatikan semua perubahan yang mungkin telah diperkenalkan ke bagian Elektron "boilerplate" bangunan Anda oleh tim sukarelawan sumber terbuka yang membuat proyek Elektron itu sendiri.

Serang bagian besar yang kurang terkenal

Dengan kata lain, jika Anda menyimpan salinan repositori Electron Anda sendiri, dan penyerang menemukan jalan ke sistem kontrol kode sumber Anda (dalam kasus 3CX, mereka tampaknya menggunakan yang sangat populer pergi perangkat lunak untuk itu)…

…maka penyerang tersebut mungkin memutuskan untuk menjebak versi berikutnya dari aplikasi Anda dengan menyuntikkan bit-and-piece berbahaya mereka ke bagian Electron dari pohon sumber Anda, alih-alih mencoba mengotak-atik kode hak milik Anda sendiri.

Lagi pula, Anda mungkin menerima begitu saja kode Elektron selama terlihat "kebanyakan sama seperti sebelumnya", dan Anda hampir pasti berada di posisi yang lebih baik untuk menemukan tambahan yang tidak diinginkan atau tidak terduga dalam kode tim Anda sendiri daripada di pohon ketergantungan raksasa. kode sumber yang ditulis oleh orang lain.

Saat Anda meninjau kode perusahaan Anda sendiri, [A] Anda mungkin pernah melihatnya sebelumnya, dan [B] Anda mungkin telah menghadiri rapat di mana perubahan sekarang muncul di perbedaan telah dibahas dan disepakati. Anda lebih mungkin untuk mengetahui, dan lebih pemilik – peka, jika Anda mau – tentang perubahan dalam kode Anda sendiri yang tampaknya tidak benar. Ini seperti perbedaan antara memperhatikan bahwa ada sesuatu yang tidak beraturan saat Anda mengendarai mobil sendiri daripada saat Anda berangkat dengan kendaraan sewaan di bandara. Bukannya Anda tidak peduli dengan mobil sewaan itu karena itu bukan milik Anda (kami harap!), tetapi hanya karena Anda tidak memiliki sejarah yang sama dan, karena ingin kata yang lebih baik, keintiman yang sama dengannya.

Apa yang harus dilakukan?

Sederhananya, jika Anda seorang pengguna 3CX dan Anda memiliki Aplikasi Desktop perusahaan di Windows atau macOS, Anda harus:

  • Uninstall segera. Add-on berbahaya dalam versi booby-trapped bisa saja tiba di instalasi aplikasi baru-baru ini dari 3CX, atau sebagai efek samping dari pembaruan resmi. Versi malware-laced tampaknya dibuat dan didistribusikan oleh 3CX sendiri, sehingga mereka memiliki tanda tangan digital yang Anda harapkan dari perusahaan, dan hampir pasti berasal dari server unduhan resmi 3CX. Dengan kata lain, Anda tidak kebal hanya karena menghindari situs unduhan alternatif atau tidak resmi. Produk yang dikenal buruk nomor versi dapat ditemukan di peringatan keamanan 3CX.
  • Periksa komputer dan log Anda untuk melihat tanda-tanda malware. Menghapus aplikasi 3CX saja tidak cukup untuk membersihkannya, karena malware ini (seperti kebanyakan malware kontemporer) dapat mengunduh dan menginstal malware tambahan dengan sendirinya. Anda dapat membaca lebih lanjut tentang bagaimana malware benar-benar berfungsi di situs saudara kami, Sophos News, tempat Sophos X-Ops telah diterbitkan analisis dan saran untuk membantu Anda dalam berburu ancaman. Artikel itu juga mencantumkan nama deteksi yang akan digunakan produk Sophos jika mereka menemukan dan memblokir elemen apa pun dari serangan ini di jaringan Anda. Anda juga dapat menemukan a daftar yang berguna dari apa yang disebut IoCs, atau indikator kompromi, Di GitHub SophosLabs halaman. IoC memberi tahu Anda cara menemukan bukti bahwa Anda diserang, dalam bentuk URL yang mungkin muncul di log Anda, file yang dikenal buruk untuk dicari di komputer Anda, dan banyak lagi.

PERLU TAHU LEBIH BANYAK? JELAS IOCS, ANALISIS DAN NAMA DETEKSI

  • Beralih menggunakan aplikasi telepon berbasis web 3CX untuk saat ini. Perusahaan mengatakan: “Kami sangat menyarankan agar Anda menggunakan Aplikasi Web Progresif (PWA) kami sebagai gantinya. Aplikasi PWA sepenuhnya berbasis web dan melakukan 95% dari apa yang dilakukan aplikasi Electron. Keuntungannya adalah tidak memerlukan pemasangan atau pembaruan apa pun dan keamanan web Chrome diterapkan secara otomatis.”
  • Tunggu saran lebih lanjut dari 3CX karena perusahaan mengetahui lebih banyak tentang apa yang terjadi. 3CX rupanya telah melaporkan URL buruk yang diketahui yang digunakan malware untuk unduhan lebih lanjut, dan mengklaim bahwa "mayoritas [domain ini] dihapus dalam semalam." Perusahaan juga mengatakan telah menghentikan sementara ketersediaan aplikasi Windows-nya, dan akan segera membangun kembali versi baru yang ditandatangani dengan tanda tangan digital baru. Ini berarti setiap versi lama dapat diidentifikasi dan dihapus dengan secara eksplisit memblokir sertifikat penandatanganan lama, yang tidak akan digunakan lagi.
  • Jika Anda tidak yakin apa yang harus dilakukan, atau tidak punya waktu untuk melakukannya sendiri, jangan takut untuk meminta bantuan. Anda bisa menghubungi Sophos Deteksi dan Respons Terkelola (MDR) atau Sophos Respon kilat (RR) melalui website utama kami.

Stempel Waktu:

Lebih dari Keamanan Telanjang