Помилка в ланцюжку постачання піддає ризику користувачів телефонного додатку 3CX

Помилка в ланцюжку постачання піддає ризику користувачів телефонного додатку 3CX

Мітка часу: 30 березня 2023 1:36
Вихідний вузол: 2552567
by Пол Даклін

NB. Назви виявлення ви можете перевірити, чи використовуєте ви продукти та послуги Sophos
доступні з Команда Sophos X-Ops на нашому рідному сайті Новини Sophos.

Компанія інтернет-телефонії 3CX попереджає своїх клієнтів про шкідливих програм який, очевидно, був підманений у власну програму 3CX Desktop компанії кіберзлочинцями, які, здається, отримали доступ до одного чи кількох сховищ вихідного коду 3CX.

Як ви можете собі уявити, зважаючи на те, що компанія намагається не лише з’ясувати, що трапилося, але й виправити та задокументувати те, що пішло не так, 3CX поки що не має багато деталей, щоб поділитися про інцидент, але заявляє, прямо на саму верхівку свого офіційного попередження безпеки:

Схоже, проблема в одній із пакетних бібліотек, які ми зібрали в програму Windows Electron через Git.

Ми все ще досліджуємо це питання, щоб сьогодні [2023-03-30] мати змогу надати більш детальну відповідь.

Electron — це назва великого та надскладного, але надпотужного інструментарію для програмування, який дає вам повний інтерфейс у стилі браузера для вашого програмного забезпечення, готовий до роботи.

Наприклад, замість того, щоб підтримувати власний код інтерфейсу користувача на C або C++ і працювати безпосередньо, скажімо, з MFC у Windows, Cocoa у macOS та Qt у Linux…

…ви об’єднуєте набір інструментів Electron і програмуєте основну частину своєї програми на JavaScript, HTML і CSS, ніби ви створюєте веб-сайт, який працюватиме в будь-якому браузері.

З владою приходить відповідальність

Якщо ви коли-небудь замислювалися про те, чому завантаження популярних програм, таких як Visual Studio Code, Zoom, Teams і Slack, такі великі, це тому, що всі вони включають збірку Electron як основного «процесора програмування» для самої програми.

Хороша сторона таких інструментів, як Electron, полягає в тому, що вони зазвичай полегшують (і пришвидшують) створення додатків, які добре виглядають, працюють у спосіб, який добре знайомий користувачам, і не поводяться абсолютно по-різному в кожній різній операційній системі. .

Погана сторона полягає в тому, що існує набагато більше основного базового коду, який вам потрібно витягувати зі свого власного (або, можливо, з чужого) сховища вихідного коду кожного разу, коли ви перебудовуєте власну програму, і навіть скромні програми зазвичай займають кілька сотень мегабайт. у розмірі, коли їх завантажують, і ще більших після встановлення.

Це погано, принаймні в теорії.

Грубо кажучи, що більший ваш додаток, то більше можливостей для того, щоб він пішов не так.

І хоча ви, ймовірно, знайомі з кодом, який складає унікальні частини вашої власної програми, і, без сумніву, у вас є хороші можливості для перегляду всіх змін від одного випуску до іншого, набагато менш імовірно, що у вас є таке ж знайомство з основним кодом Electron, на якому покладається ваша програма.

Тому малоймовірно, що у вас буде час звернути увагу на всі зміни, які могли бути внесені в «шаблонні» частини Electron вашої збірки командою волонтерів з відкритим кодом, які складають сам проект Electron.

Нападайте на менш відоме

Іншими словами, якщо ви зберігаєте власну копію репозиторію Electron, а зловмисники знаходять шлях до вашої системи контролю вихідного коду (у випадку 3CX вони, очевидно, використовують дуже популярний Git програмне забезпечення для цього)…

…тоді ці зловмисники цілком можуть вирішити замінувати наступну версію вашої програми, вставивши свої шкідливі фрагменти в електронну частину вашого вихідного дерева, замість того, щоб намагатися возитися з вашим власним кодом.

Зрештою, ви, ймовірно, сприймаєте код Electron як належне, доки він виглядає «здебільшого таким же, як і раніше», і ви, напевно, краще помітите небажані чи несподівані доповнення в коді вашої команди, ніж у гігантському дереві залежностей вихідний код, написаний кимось іншим.

Коли ви переглядаєте власний код вашої компанії, [A] ви, напевно, бачили його раніше, і [B] ви, цілком можливо, були присутні на зустрічах, на яких зміни, які зараз відображаються у вашому відрізняється були обговорені та погоджені. Ви, швидше за все, будете налаштовані на зміни у вашому власному коді, які виглядають неправильно. Це трохи схоже на різницю між тим, щоб помітити, що щось не так, коли ти керуєш власним автомобілем, і коли ти вирушаєш на орендованому автомобілі в аеропорту. Не тому, що ви не дбаєте про орендовану машину, тому що вона не ваша (ми сподіваємося!), а просто у вас немає тієї самої історії та, за браком кращого слова, тієї ж близькості з нею.

Що ж робити?

Простіше кажучи, якщо ви є Користувач 3CX і у вас є комп’ютерна програма компанії для Windows або macOS, ви повинні:

  • Відразу видаліть його. Шкідливі додатки у мінованій версії могли з’явитися або під час нещодавньої нової інсталяції програми від 3CX, або як побічний ефект офіційного оновлення. Версії зі зловмисним програмним забезпеченням, очевидно, були створені та розповсюджені самою 3CX, тому вони мають цифрові підписи, яких ви очікуєте від компанії, і вони майже напевно походять з офіційного сервера завантажень 3CX. Іншими словами, ви не захищені лише тому, що уникали альтернативних або неофіційних сайтів для завантаження. Завідомо поганий продукт номери версій можна знайти в попередженні безпеки 3CX.
  • Перевірте свій комп’ютер і свої журнали на наявність ознак зловмисного програмного забезпечення. Простого видалення програми 3CX недостатньо для очищення, оскільки ця шкідлива програма (як і більшість сучасних шкідливих програм) може сама завантажувати та встановлювати додаткові шкідливі програми. Ви можете прочитати більше про те, як зловмисне програмне забезпечення дійсно працює на нашому дочірньому сайті Sophos News, де опубліковано Sophos X-Ops аналіз і поради щоб допомогти вам у пошуку загроз. У цій статті також перераховано назви виявлення, які використовуватимуть продукти Sophos, якщо виявлять і заблокують будь-які елементи цієї атаки у вашій мережі. Ви також можете знайти a корисний список так званих IoC, або індикатори компромісу, На SophosLabs GitHub сторінки. IoC розповість вам, як знайти докази, що вас атакували, у формі URL-адрес, які можуть відображатися у ваших журналах, завідомо шкідливих файлів для пошуку на ваших комп’ютерах тощо.

ПОТРІБНО ЗНАТИ БІЛЬШЕ? ВІДСЛІКУВАЙТЕ НАЗВИ IOCS, АНАЛІЗУ ТА ВИЯВЛЕННЯ

  • Наразі перейдіть на використання веб-програми телефонії 3CX. Компанія каже: «Ми наполегливо рекомендуємо вам замість цього використовувати наш прогресивний веб-додаток (PWA). Додаток PWA повністю веб-інтерфейс і виконує 95% того, що робить додаток Electron. Перевагою є те, що він не потребує встановлення чи оновлення, а веб-захист Chrome застосовується автоматично».
  • Зачекайте подальших порад від 3CX, оскільки компанія дізнається більше про те, що сталося. 3CX, мабуть, уже повідомила про завідомо шкідливі URL-адреси, які зловмисне програмне забезпечення використовує для подальших завантажень, і стверджує, що «більшість [цих доменів] було видалено вночі». Компанія також заявляє, що тимчасово припинила доступність своєї програми для Windows і незабаром відновить нову версію, підписану новим цифровим підписом. Це означає, що будь-які старі версії можна ідентифікувати та очистити шляхом явного блокування старого сертифіката підпису, який більше не використовуватиметься.
  • Якщо ви не впевнені, що робити, або не маєте часу зробити це самостійно, не бійтеся покликати на допомогу. Ви можете придбати Sophos Кероване виявлення та реагування (MDR) або Sophos Швидкий відгук (RR) через наш головний веб-сайт.

Часова мітка:

Більше від Гола безпека