Ошибка в цепочке поставок подвергает риску пользователей телефонного приложения 3CX

Ошибка в цепочке поставок подвергает риску пользователей телефонного приложения 3CX

Отметка времени: 30 марта 2023 г., 1:36
Исходный узел: 2552567
by Пол Даклин

NB. Имена обнаружения вы можете проверить, используете ли вы продукты и услуги Sophos
доступны из Команда Sophos X-Ops на нашем сайте-партнере Новости Sophos.

Интернет-телефонная компания 3CX предупреждает своих клиентов о вредоносных программ это, по-видимому, было внедрено в собственное приложение 3CX Desktop киберпреступниками, которые, похоже, получили доступ к одному или нескольким репозиториям исходного кода 3CX.

Как вы можете себе представить, учитывая, что компания изо всех сил пытается не только выяснить, что произошло, но и исправить и задокументировать, что пошло не так, 3CX пока не может поделиться подробностями об инциденте, но сообщает прямо в самый верх его официальной предупреждение системы безопасности:

Похоже, проблема связана с одной из связанных библиотек, которые мы скомпилировали в приложение Windows Electron через Git.

Мы все еще изучаем этот вопрос, чтобы предоставить более подробный ответ сегодня [2023-03-30].

Electron — это название большого и сверхсложного, но сверхмощного набора инструментов для программирования, который дает вам готовый к работе интерфейс в стиле браузера для вашего программного обеспечения.

Например, вместо того, чтобы поддерживать собственный код пользовательского интерфейса на C или C++ и работать напрямую, скажем, с MFC в Windows, Cocoa в macOS и Qt в Linux…

… вы подключаете инструментарий Electron и программируете большую часть своего приложения на JavaScript, HTML и CSS, как если бы вы создавали веб-сайт, который будет работать в любом браузере.

С силой приходит ответственность

Если вы когда-нибудь задумывались, почему популярные загрузки приложений, таких как Visual Studio Code, Zoom, Teams и Slack, настолько велики, то это потому, что все они включают сборку Electron в качестве основного «движка программирования» для самого приложения.

Хорошая сторона таких инструментов, как Electron, заключается в том, что они, как правило, упрощают (и ускоряют) создание приложений, которые хорошо выглядят, работают привычным для пользователей способом и не ведут себя совершенно по-разному в разных операционных системах. .

Плохая сторона заключается в том, что существует гораздо больше базового кода, который вам нужно извлекать из собственного (или, возможно, из чьего-либо) репозитория исходного кода каждый раз, когда вы перестраиваете свое собственное приложение, и даже скромные приложения обычно занимают несколько сотен мегабайт. в размере, когда они загружаются, и еще больше после их установки.

Это плохо, по крайней мере в теории.

Грубо говоря, чем больше ваше приложение, тем больше шансов, что оно пойдет не так.

И хотя вы, вероятно, знакомы с кодом, составляющим уникальные части вашего собственного приложения, и у вас, несомненно, есть все возможности для просмотра всех изменений от одного выпуска к другому, гораздо менее вероятно, что у вас есть такое же знакомство с базовым кодом Electron, на котором основано ваше приложение.

Поэтому маловероятно, что у вас будет время обратить внимание на все изменения, которые могли быть внесены в «шаблонные» части Electron вашей сборки командой добровольцев с открытым исходным кодом, которые составляют сам проект Electron.

Атакуйте большую часть, которая менее известна

Другими словами, если у вас есть собственная копия репозитория Electron, а злоумышленники находят путь в вашу систему управления исходным кодом (в случае 3CX они, по-видимому, используют очень популярную идти софт для этого)…

… тогда эти злоумышленники вполне могут решить заминировать следующую версию вашего приложения, внедрив свои вредоносные фрагменты в часть Electron вашего исходного дерева, вместо того, чтобы пытаться возиться с вашим собственным проприетарным кодом.

В конце концов, вы, вероятно, воспринимаете код Electron как нечто само собой разумеющееся, пока он выглядит «почти так же, как и раньше», и вы почти наверняка лучше приспособлены для обнаружения нежелательных или неожиданных дополнений в коде вашей собственной команды, чем в гигантском дереве зависимостей. исходный код, который был написан кем-то другим.

Когда вы просматриваете собственный код своей компании, [A] вы, вероятно, видели его раньше, и [B] вы вполне могли присутствовать на собраниях, на которых изменения теперь отображаются в вашем коде. дифференциалы были обсуждены и согласованы. Вы, скорее всего, будете настроены и более собственнически — чувствительны, если хотите — к изменениям в вашем собственном коде, которые выглядят неправильно. Это немного похоже на разницу между замечанием того, что что-то не в порядке, когда вы едете на собственной машине, и когда вы отправляетесь в аренду в аэропорту. Не то чтобы вы не заботились о арендованной машине, потому что она не ваша (мы надеемся!), а просто потому, что у вас не та же история и, если не сказать лучше, та же близость с ней.

Что делать?

Проще говоря, если вы пользователь 3CX и у вас есть настольное приложение компании для Windows или macOS, вам следует:

  • Удалите его немедленно. Вредоносные надстройки в заминированной версии могли появиться либо в недавней свежей установке приложения от 3CX, либо в качестве побочного эффекта официального обновления. Версии с вредоносными программами, по-видимому, были созданы и распространены самой 3CX, поэтому они имеют цифровые подписи, которые вы ожидаете от компании, и они почти наверняка были получены с официального сервера загрузки 3CX. Другими словами, вы не застрахованы только потому, что избегали альтернативных или неофициальных сайтов загрузки. Заведомо плохой продукт номера версий можно найти в предупреждении безопасности 3CX.
  • Проверьте свой компьютер и журналы на наличие контрольных признаков вредоносного ПО. Простого удаления приложения 3CX недостаточно для очистки, потому что эта вредоносная программа (как и большинство современных вредоносных программ) может сама загружать и устанавливать дополнительные вредоносные программы. Вы можете подробнее прочитать о том, как вредоносное ПО действительно работает на нашем дочернем сайте Sophos News, где Sophos X-Ops опубликовала анализ и консультации чтобы помочь вам в поиске угроз. В этой статье также перечислены имена обнаружения, которые будут использовать продукты Sophos, если они обнаружат и заблокируют какие-либо элементы этой атаки в вашей сети. Вы также можете найти полезный список так называемых IoC, или индикаторы компрометации, На SophosLabsGitHub страницы. IoC подсказывают вам, как найти доказательства того, что вы подверглись атаке, в виде URL-адресов, которые могут отображаться в ваших журналах, известных плохих файлов, которые нужно искать на ваших компьютерах, и многого другого.

НУЖНО ЗНАТЬ БОЛЬШЕ? СЛЕДИТЕ ЗА ИМЕНАМИ IOCS, АНАЛИЗА И ОБНАРУЖЕНИЯ

  • На данный момент переключитесь на использование веб-телефонии 3CX. Компания говорит: «Мы настоятельно рекомендуем вам вместо этого использовать наше прогрессивное веб-приложение (PWA). Приложение PWA полностью основано на Интернете и делает 95% того, что делает приложение Electron. Преимущество заключается в том, что он не требует установки или обновления, а веб-безопасность Chrome применяется автоматически».
  • Дождитесь дальнейших рекомендаций от 3CX, поскольку компания узнает больше о том, что произошло. 3CX, по-видимому, уже сообщил об известных плохих URL-адресах, которые вредоносное ПО использует для дальнейших загрузок, и утверждает, что «большинство [этих доменов] были отключены за одну ночь». Компания также сообщает, что временно прекратила доступность своего приложения для Windows и скоро перестроит новую версию, подписанную новой цифровой подписью. Это означает, что любые старые версии могут быть идентифицированы и удалены путем явного внесения в черный список старого сертификата подписи, который больше не будет использоваться.
  • Если вы не знаете, что делать, или у вас нет времени, чтобы сделать это самостоятельно, не бойтесь звать на помощь. Вы можете получить Sophos Управляемое обнаружение и ответ (MDR) или Sophos Быстрый ответ (RR) через наш основной сайт.

Отметка времени:

Больше от Голая Безопасность