サプライ チェーンの失敗により、3CX 電話アプリのユーザーが危険にさらされる

サプライ チェーンの失敗により、3CX 電話アプリのユーザーが危険にさらされる

タイムスタンプ:30年2023月1日午後36時
ソースノード: 2552567
by ポール・ダックリン

NB。 検出名 ソフォスの製品とサービスを使用しているかどうかを確認できます
から入手可能です ソフォス X-Ops チーム 姉妹サイトで ソフォスニュース.

インターネット電話会社の 3CX は、顧客に次のことを警告しています。 マルウェア これは、3CX のソース コード リポジトリの 3 つまたは複数へのアクセス権を取得したと思われるサイバー犯罪者によって、同社独自の XNUMXCX デスクトップ アプリに悪用されたようです。

ご想像のとおり、同社は何が起こったのかを解明するだけでなく、何が問題だったのかを修復して文書化するために急いでいることを考えると、3CX はこの事件について共有する詳細をまだあまり持っていませんが、次のように述べています。その公式の一番上 セキュリティーアラート:

この問題は、Git 経由で Wi​​ndows Electron アプリにコンパイルしたバンドル ライブラリの XNUMX つにあるようです。

本日 [2023 年 03 月 30 日] 遅くに、より詳細な回答を提供できるように、この問題を引き続き調査しています。

Electron は、大規模で非常に複雑だが非常に強力なプログラミング ツールキットの名前であり、ソフトウェアのブラウザー スタイルのフロント エンド全体をすぐに使用できるようにします。

たとえば、独自のユーザー インターフェイス コードを C または C++ で維持し、Windows の MFC、macOS の Cocoa、Linux の Qt などを直接操作する代わりに…

…Electron ツールキットにバンドルし、JavaScript、HTML、および CSS でアプリの大部分をプログラミングします。あたかも任意のブラウザーで動作する Web サイトを構築しているかのように。

権力には責任が伴う

Visual Studio Code、Zoom、Teams、Slack などの人気アプリのダウンロード数がこれほど多い理由は、アプリ自体のコア「プログラミング エンジン」としてすべてのアプリに Electron のビルドが含まれているためです。

Electron のようなツールの良い面は、見栄えが良く、ユーザーが慣れ親しんだ方法で動作し、異なるオペレーティング システムごとにまったく異なる動作をしないアプリを一般的に簡単 (かつ迅速) に構築できることです。 .

悪い面は、独自のアプリを再構築するたびに、独自の (またはおそらく他の誰かの) ソース コード リポジトリから取り出さなければならない基礎となる基礎コードがさらに多く存在することです。通常、ささやかなアプリでも数百メガバイトのサイズになります。ダウンロード時のサイズは大きく、インストール後はさらに大きくなります。

少なくとも理論的には、それは悪いことです。

大まかに言えば、アプリが大きくなればなるほど、うまくいかない可能性が高くなります。

また、自分のアプリの独自の部分を構成するコードに精通している可能性が高く、XNUMX つのリリースから次のリリースまでのすべての変更を確認するのに適していることは間違いありません。アプリが依存する基盤となる Electron コードに精通していること。

したがって、Electron プロジェクト自体を構成するオープンソース ボランティアのチームによって、ビルドの「ボイラープレート」Electron 部分に導入された可能性のあるすべての変更に注意を払う時間はありません。

あまり知られていないビッグビットを攻撃する

つまり、あなたが Electron リポジトリの独自のコピーを保持していて、攻撃者がソース コード管理システムに侵入する方法を見つけた場合 (3CX の場合、彼らは明らかに非常に人気のある Gitの そのためのソフトウェア)…

…その後、これらの攻撃者は、独自の独自コードをいじろうとするのではなく、悪意のある断片をソース ツリーの Electron 部分に挿入することで、アプリの次のバージョンをブービー トラップすることを決定する可能性があります。

結局のところ、「以前とほぼ同じ」に見える限り、おそらく Electron コードを当然のことと考えており、巨大な依存関係ツリーよりも、自分のチームのコードに不要または予期しない追加を見つける方がほぼ確実です。他人が書いたソースコード。

自分の会社のコードをレビューしているとき、[A] おそらく以前に見たことがあるでしょうし、[B] ミーティングに出席したことがあるかもしれません。 差分 議論され、合意されました。 自分のコードの見た目が正しくないように見える変更については、より敏感になり、より専有的 (必要に応じて敏感) になる可能性が高くなります。 それは、空港でレンタカーに乗ったときと、自分の車を運転しているときに何かがおかしいことに気付くことの違いに少し似ています。 それはあなたのものではないので、あなたがレンタカーを気にしないということではありません(私たちは願っています!)が、単にあなたが同じ歴史を持っておらず、より良い言葉が欲しいのですが、それと同じ親密さを持っていないということです.

何をするか?

簡単に言えば、あなたが 3CX ユーザー Windows または macOS で会社のデスクトップ アプリを使用している場合は、次のことを行う必要があります。

  • すぐにアンインストールしてください。 ブービー トラップ バージョンの悪意のあるアドオンは、3CX からのアプリの最近の新規インストール、または公式アップデートの副作用として到着した可能性があります。 マルウェアが混入したバージョンは、明らかに 3CX 自体によって作成および配布されたため、会社から期待されるデジタル署名があり、公式の 3CX ダウンロード サーバーからのものであることはほぼ確実です。 言い換えれば、代替または非公式のダウンロード サイトを避けたからといって、免疫があるわけではありません。 既知の不良品 バージョン番号 3CX のセキュリティ アラートで確認できます。
  • マルウェアの明らかな兆候がないか、コンピューターとログを確認してください。 3CX アプリを削除するだけでは、クリーンアップには十分ではありません。このマルウェア (最近のほとんどのマルウェアと同様) は、それ自体が追加のマルウェアをダウンロードしてインストールする可能性があるためです。 詳細については、 マルウェアは実際に動作します Sophos X-Ops が公開している姉妹サイト、Sophos News 分析とアドバイス 脅威ハンティングに役立ちます。 この記事には、ソフォス製品がネットワーク内でこの攻撃の要素を検出してブロックする場合に使用する検出名も記載されています。 また、 便利なリスト いわゆるIoCの、または 侵入の痕跡SophosLabs GitHub ページ。 IoC は、ログに表示される可能性がある URL の形で攻撃された証拠を見つける方法、コンピューター上で探す既知の不良ファイルなどを教えてくれます。

詳細を知る必要がありますか? IOC、分析、および検出名を追跡する

  • とりあえず、3CX の Web ベースのテレフォニー アプリの使用に切り替えます。 同社は次のように述べています。 PWA アプリは完全に Web ベースであり、Electron アプリの 95% を実行します。 利点は、インストールや更新が不要で、Chrome Web セキュリティが自動的に適用されることです。」
  • 3CX が何が起こったのかについてさらに詳しく知るため、XNUMXCX からのさらなるアドバイスを待ちます。 3CX は、マルウェアがさらなるダウンロードに使用する既知の悪意のある URL をすでに報告しているようで、「(これらのドメインの) 大部分は一晩で削除された」と主張しています。 同社はまた、Windows アプリの提供を一時的に中止し、新しいデジタル署名で署名された新しいバージョンをすぐに再構築すると述べています。 これは、古い署名証明書を明示的にブロックリストに登録することで、古いバージョンを特定してパージできることを意味します。これは再び使用されることはありません。
  • 何をすればよいかわからない場合、または自分で行う時間がない場合は、恐れずに助けを求めてください。 あなたはソフォスを手に入れることができます 管理された検出と応答 (MDR) またはソフォス 素早い応答 (RR) 当社のメイン Web サイトから。

タイムスタンプ:

より多くの 裸のセキュリティ