O erro na cadeia de suprimentos coloca os usuários do aplicativo de telefone 3CX em risco

O erro na cadeia de suprimentos coloca os usuários do aplicativo de telefone 3CX em risco

Registro de data e hora: 30 de março de 2023, 1:36
Nó Fonte: 2552567
by Paul Ducklin

NB. Nomes de detecção você pode verificar se usa produtos e serviços da Sophos
estão disponíveis a partir do Equipe Sophos X-Ops em nosso site irmão Notícias Sophos.

A empresa de telefonia pela Internet 3CX está alertando seus clientes sobre malwares que aparentemente foi introduzido no próprio aplicativo de desktop 3CX da empresa por cibercriminosos que parecem ter adquirido acesso a um ou mais repositórios de código-fonte da 3CX.

Como você pode imaginar, dado que a empresa está se esforçando não apenas para descobrir o que aconteceu, mas também para reparar e documentar o que deu errado, a 3CX ainda não tem muitos detalhes para compartilhar sobre o incidente, mas afirma, logo no início o topo de seu oficial alerta de segurança:

O problema parece ser uma das bibliotecas agrupadas que compilamos no aplicativo Windows Electron via Git.

Ainda estamos pesquisando o assunto para poder fornecer uma resposta mais aprofundada ainda hoje [2023-03-30].

Electron é o nome de um kit de ferramentas de programação grande e supercomplexo, mas ultrapoderoso, que oferece um front-end completo no estilo de navegador para o seu software, pronto para uso.

Por exemplo, em vez de manter seu próprio código de interface de usuário em C ou C++ e trabalhar diretamente com, digamos, MFC no Windows, Cocoa no macOS e Qt no Linux…

…você empacota no kit de ferramentas Electron e programa a maior parte do seu aplicativo em JavaScript, HTML e CSS, como se estivesse construindo um site que funcionaria em qualquer navegador.

Com o poder vem a responsabilidade

Se você já se perguntou por que os downloads de aplicativos populares, como Visual Studio Code, Zoom, Teams e Slack, são tão grandes, é porque todos eles incluem uma compilação do Electron como o “mecanismo de programação” principal do próprio aplicativo.

O lado bom de ferramentas como o Electron é que elas geralmente facilitam (e agilizam) a criação de aplicativos com boa aparência, que funcionam de uma maneira que os usuários já estão familiarizados e que não se comportam de maneira completamente diferente em cada sistema operacional diferente. .

O lado ruim é que há muito mais código básico de underyling que você precisa extrair de seu próprio repositório de código-fonte (ou talvez de outra pessoa) toda vez que recriar seu próprio aplicativo, e mesmo aplicativos modestos geralmente acabam em várias centenas de megabytes em tamanho quando são baixados e ainda maiores depois de instalados.

Isso é ruim, pelo menos em teoria.

Falando vagamente, quanto maior o seu aplicativo, mais maneiras existem de dar errado.

E embora você provavelmente esteja familiarizado com o código que compõe as partes exclusivas de seu próprio aplicativo e, sem dúvida, esteja bem posicionado para revisar todas as alterações de uma versão para outra, é muito menos provável que você tenha o mesmo tipo de familiaridade com o código Electron subjacente do qual seu aplicativo depende.

Portanto, é improvável que você tenha tempo para prestar atenção a todas as mudanças que podem ter sido introduzidas nas partes eletrônicas "padrão" de sua compilação pela equipe de voluntários de código aberto que compõem o próprio projeto Electron.

Ataque o grande pedaço que é menos conhecido

Em outras palavras, se você está mantendo sua própria cópia do repositório Electron, e os invasores encontram uma maneira de entrar no seu sistema de controle de código-fonte (no caso do 3CX, eles aparentemente estão usando o muito popular Git software para isso)…

…então, esses invasores podem decidir fazer uma armadilha para a próxima versão do seu aplicativo, injetando seus bits e peças maliciosos na parte eletrônica de sua árvore de origem, em vez de tentar mexer com seu próprio código proprietário.

Afinal, você provavelmente considera o código Electron como certo, desde que pareça "quase o mesmo de antes", e você quase certamente está em melhor posição para detectar adições indesejadas ou inesperadas no código de sua própria equipe do que em uma gigantesca árvore de dependências de código-fonte que foi escrito por outra pessoa.

Quando você está revisando o código de sua própria empresa, [A] você provavelmente já o viu antes, e [B] você pode muito bem ter participado das reuniões nas quais as mudanças agora aparecem em seu diferenças foram discutidos e acordados. É mais provável que você seja sintonizado e mais proprietário - sensível, se desejar - sobre alterações em seu próprio código que não parecem corretas. É um pouco como a diferença entre perceber que algo está fora de ordem quando você dirige seu próprio carro do que quando você sai em um veículo alugado no aeroporto. Não que você não se importe com o carro alugado porque não é seu (assim esperamos!), mas simplesmente porque você não tem a mesma história e, por falta de palavra melhor, a mesma intimidade com ele.

O que fazer?

Simplificando, se você é um usuário 3CX e você tem o aplicativo de desktop da empresa no Windows ou macOS, você deve:

  • Desinstale-o imediatamente. Os complementos maliciosos na versão armadilhada podem ter chegado em uma instalação recente e recente do aplicativo do 3CX ou como efeito colateral de uma atualização oficial. As versões com malware foram aparentemente construídas e distribuídas pela própria 3CX, então elas têm as assinaturas digitais que você esperaria da empresa, e quase certamente vieram de um servidor de download oficial da 3CX. Em outras palavras, você não está imune apenas porque evitou sites de download alternativos ou não oficiais. Produto ruim conhecido números de versão pode ser encontrado no alerta de segurança do 3CX.
  • Verifique seu computador e seus logs em busca de sinais indicadores do malware. Apenas remover o aplicativo 3CX não é suficiente para limpar, porque esse malware (como a maioria dos malwares contemporâneos) pode baixar e instalar malware adicional. Você pode ler mais sobre como o malware realmente funciona em nosso site irmão, Sophos News, onde a Sophos X-Ops publicou análise e consultoria para ajudá-lo em sua caça à ameaça. Esse artigo também lista os nomes de detecção que os produtos Sophos usarão se encontrarem e bloquearem quaisquer elementos desse ataque em sua rede. Você também pode encontrar um lista útil dos chamados IoCs, ou indicadores de compromisso, Na SophosLabs GitHub Páginas. Os IoCs informam como encontrar evidências de que você foi atacado, na forma de URLs que podem aparecer em seus logs, arquivos conhecidos como inválidos para procurar em seus computadores e muito mais.

PRECISA SABER MAIS? ACOMPANHE IOCS, ANÁLISES E NOMES DE DETECÇÃO

  • Mude para usar o aplicativo de telefonia baseado na web do 3CX por enquanto. A empresa diz: “Sugerimos fortemente que você use nosso Progressive Web App (PWA). O aplicativo PWA é totalmente baseado na web e faz 95% do que o aplicativo Electron faz. A vantagem é que não requer nenhuma instalação ou atualização e a segurança da web do Chrome é aplicada automaticamente.”
  • Aguarde mais conselhos da 3CX enquanto a empresa descobre mais sobre o que aconteceu. A 3CX aparentemente já relatou as conhecidas URLs ruins que o malware usa para downloads adicionais e afirma que “a maioria [desses domínios] foi retirada durante a noite”. A empresa também diz que descontinuou temporariamente a disponibilidade de seu aplicativo para Windows e em breve reconstruirá uma nova versão assinada com uma nova assinatura digital. Isso significa que todas as versões antigas podem ser identificadas e eliminadas por meio da lista de bloqueio explícita do antigo certificado de assinatura, que não será usado novamente.
  • Se você não tem certeza do que fazer ou não tem tempo para fazer isso sozinho, não tenha medo de pedir ajuda. Você pode se apossar de Sophos Detecção e resposta gerenciadas (MDR) ou Sophos Resposta rápida (RR) através do nosso site principal.

Carimbo de hora:

Mais de Segurança nua