سپلائی چین کی غلطی 3CX ٹیلی فون ایپ کے صارفین کو خطرے میں ڈالتی ہے۔

NB پتہ لگانے والے نام آپ چیک کر سکتے ہیں کہ آیا آپ سوفوس کی مصنوعات اور خدمات استعمال کرتے ہیں۔
سے دستیاب ہیں سوفوس ایکس اوپس ٹیم ہماری بہن سائٹ پر سوفوس نیوز.

انٹرنیٹ ٹیلی فونی کمپنی 3CX اپنے صارفین کو خبردار کر رہی ہے۔ میلویئر جو بظاہر سائبر کرائمینلز کے ذریعہ کمپنی کی اپنی 3CX ڈیسک ٹاپ ایپ میں بند کر دی گئی تھی جنہوں نے ایسا لگتا ہے کہ 3CX کے سورس کوڈ کے ذخیروں میں سے ایک یا زیادہ تک رسائی حاصل کر لی ہے۔

جیسا کہ آپ تصور کر سکتے ہیں، یہ دیکھتے ہوئے کہ کمپنی نہ صرف یہ جاننے کے لیے کہ کیا ہوا ہے، بلکہ اس کی مرمت اور دستاویز کرنے کے لیے بھی کوشش کر رہی ہے کہ کیا غلط ہوا، 3CX کے پاس ابھی تک اس واقعے کے بارے میں بتانے کے لیے زیادہ تفصیل نہیں ہے، لیکن یہ اپنے اہلکار کے بالکل اوپر بیان کرتا ہے۔ سیکیورٹی الرٹ:

یہ مسئلہ ان بنڈل لائبریریوں میں سے ایک لگتا ہے جسے ہم نے گٹ کے ذریعے ونڈوز الیکٹران ایپ میں مرتب کیا ہے۔

ہم ابھی بھی اس معاملے پر تحقیق کر رہے ہیں تاکہ آج کے بعد مزید گہرائی سے جواب فراہم کر سکیں [2023-03-30]۔

الیکٹران ایک بڑی اور انتہائی پیچیدہ لیکن انتہائی طاقتور پروگرامنگ ٹول کٹ کا نام ہے جو آپ کو اپنے سافٹ ویئر کے لیے مکمل براؤزر طرز کا فرنٹ اینڈ فراہم کرتا ہے، جو جانے کے لیے تیار ہے۔

مثال کے طور پر، C یا C++ میں اپنے یوزر انٹرفیس کوڈ کو برقرار رکھنے اور ونڈوز پر ایم ایف سی، میک او ایس پر کوکو اور لینکس پر کیو ٹی کے ساتھ براہ راست کام کرنے کے بجائے…

…آپ الیکٹران ٹول کٹ میں بنڈل بناتے ہیں اور اپنی ایپ کا بڑا حصہ JavaScript، HTML اور CSS میں پروگرام کرتے ہیں، گویا آپ ایک ویب سائٹ بنا رہے ہیں جو کسی بھی براؤزر میں کام کرے گی۔

طاقت کے ساتھ ذمہ داری آتی ہے۔

اگر آپ نے کبھی سوچا ہے کہ کیوں مقبول ایپ ڈاؤن لوڈز جیسے کہ ویژول اسٹوڈیو کوڈ، زوم، ٹیمز اور سلیک اتنے ہی بڑے ہیں، تو اس کی وجہ یہ ہے کہ ان سب میں خود ایپ کے لیے بنیادی "پروگرامنگ انجن" کے طور پر الیکٹران کی تعمیر شامل ہے۔

Electron جیسے ٹولز کا اچھا پہلو یہ ہے کہ وہ عام طور پر ایسی ایپس بنانا آسان (اور تیز) بناتے ہیں جو اچھی لگتی ہیں، جو اس طرح کام کرتی ہیں جس سے صارفین واقف ہوں، اور جو ہر مختلف آپریٹنگ سسٹم پر بالکل مختلف برتاؤ نہیں کرتے ہیں۔

برا پہلو یہ ہے کہ جب بھی آپ اپنی ایپ کو دوبارہ بناتے ہیں تو آپ کو اپنے (یا شاید کسی اور کے ذریعہ) سورس کوڈ کے ذخیرے سے بہت زیادہ بنیادی کوڈ کو نیچے کھینچنے کی ضرورت ہوتی ہے، اور یہاں تک کہ معمولی ایپس بھی ڈاؤن لوڈ ہونے پر کئی سو میگا بائٹس سائز میں ختم ہوجاتی ہیں، اور انسٹال ہونے کے بعد اس سے بھی بڑی ہوجاتی ہیں۔

نظریہ میں کم از کم یہ برا ہے۔

واضح طور پر، آپ کی ایپ جتنی بڑی ہوگی، اس کے غلط ہونے کے اتنے ہی زیادہ طریقے ہیں۔

اور جب کہ آپ شاید اس کوڈ سے واقف ہیں جو آپ کی اپنی ایپ کے منفرد حصوں کو بناتا ہے، اور اس میں کوئی شک نہیں کہ آپ ایک ریلیز سے دوسری ریلیز میں ہونے والی تمام تبدیلیوں کا جائزہ لینے کے لیے اچھی طرح سے موجود ہیں، اس بات کا امکان بہت کم ہے کہ آپ کو بنیادی الیکٹران کوڈ سے اسی قسم کی واقفیت حاصل ہو جس پر آپ کی ایپ انحصار کرتی ہے۔

اس لیے اس بات کا امکان نہیں ہے کہ آپ کے پاس ان تمام تبدیلیوں پر توجہ دینے کا وقت ہو جو آپ کی تعمیر کے "بوائلر پلیٹ" الیکٹران حصوں میں اوپن سورس رضاکاروں کی ٹیم کے ذریعے متعارف کروائی گئی ہیں جو خود الیکٹران پروجیکٹ بناتے ہیں۔

اس بڑے بٹ پر حملہ کریں جو کم معروف ہے۔

دوسرے لفظوں میں، اگر آپ الیکٹران کے ذخیرے کی اپنی کاپی اپنے پاس رکھ رہے ہیں، اور حملہ آور آپ کے سورس کوڈ کنٹرول سسٹم میں راستہ تلاش کر لیتے ہیں (3CX کے معاملے میں، وہ بظاہر بہت مقبول استعمال کر رہے ہیں۔ جاؤ اس کے لیے سافٹ ویئر)…

…پھر وہ حملہ آور آپ کے اپنے ملکیتی کوڈ کے ساتھ گڑبڑ کرنے کی بجائے، آپ کے سورس ٹری کے الیکٹران حصے میں اپنے بدنیتی پر مبنی بٹس اور ٹکڑوں کو انجیکشن لگا کر آپ کی ایپ کے اگلے ورژن کو بوبی ٹریپ کرنے کا فیصلہ کر سکتے ہیں۔

بہر حال، آپ شاید الیکٹران کوڈ کو اس وقت تک قدر کی نگاہ سے دیکھتے ہیں جب تک کہ یہ "زیادہ تر پہلے جیسا ہی" نظر آتا ہے، اور آپ کو یقینی طور پر اپنی ٹیم کے کوڈ میں ناپسندیدہ یا غیر متوقع اضافے کو دیکھنے کے لیے تقریباً بہتر طور پر رکھا جائے گا بجائے اس کے کہ ماخذ کوڈ کے بڑے انحصار والے درخت میں جو کسی اور نے لکھا ہو۔

جب آپ اپنی کمپنی کے اپنے کوڈ کا جائزہ لے رہے ہوتے ہیں، تو [A] آپ نے شاید اسے پہلے دیکھا ہوگا، اور [B] آپ نے ان میٹنگز میں شرکت کی ہو گی جن میں تبدیلیاں اب آپ کے مختلف تبادلہ خیال کیا گیا اور اتفاق کیا گیا۔ آپ کے اپنے کوڈ میں ایسی تبدیلیوں کے بارے میں جو درست نظر نہیں آتی ہیں، اور زیادہ ملکیتی – حساس، اگر آپ چاہیں تو – ہونے کا امکان زیادہ ہے۔ یہ ائیرپورٹ پر کرائے کی گاڑی میں روانہ ہونے کے مقابلے میں اپنی گاڑی چلاتے وقت یہ محسوس کرنے کے درمیان فرق جیسا ہی ہے۔ ایسا نہیں ہے کہ آپ کرائے کی کار کی پرواہ نہیں کرتے کیونکہ یہ آپ کی نہیں ہے (ہمیں امید ہے!)، لیکن صرف یہ کہ آپ کی تاریخ ایک جیسی نہیں ہے اور، بہتر لفظ کی ضرورت کے لیے، اس کے ساتھ وہی قربت۔

کیا کیا جائے؟

سیدھے الفاظ میں، اگر آپ ایک ہیں۔ 3CX صارف اور آپ کو ونڈوز یا میک او ایس پر کمپنی کی ڈیسک ٹاپ ایپ مل گئی ہے، آپ کو:

• اسے فوراً اَن انسٹال کریں۔ بوبی ٹریپڈ ورژن میں بدنیتی پر مبنی ایڈ آنز یا تو 3CX سے ایپ کی تازہ ترین انسٹالیشن میں، یا کسی آفیشل اپ ڈیٹ کے سائیڈ ایفیکٹ کے طور پر پہنچ سکتے ہیں۔ میلویئر سے جڑے ورژن بظاہر خود 3CX کے ذریعہ بنائے اور تقسیم کیے گئے تھے، لہذا ان کے پاس ڈیجیٹل دستخط ہیں جن کی آپ کمپنی سے توقع کریں گے، اور وہ تقریباً یقینی طور پر ایک آفیشل 3CX ڈاؤن لوڈ سرور سے آئے ہیں۔ دوسرے لفظوں میں، آپ صرف اس وجہ سے محفوظ نہیں ہیں کہ آپ نے متبادل یا غیر سرکاری ڈاؤن لوڈ سائٹس کو چھوڑ دیا ہے۔ معروف بری پروڈکٹ ورژن نمبرز 3CX کے سیکورٹی الرٹ میں پایا جا سکتا ہے۔
• اپنے کمپیوٹر اور اپنے لاگز کو چیک کریں کہ میلویئر کے بتائے جانے والے نشانات۔ صاف کرنے کے لیے صرف 3CX ایپ کو ہٹانا کافی نہیں ہے، کیونکہ یہ میلویئر (جیسے زیادہ تر عصری میلویئر) خود ہی اضافی میلویئر ڈاؤن لوڈ اور انسٹال کر سکتا ہے۔ آپ مزید پڑھ سکتے ہیں کہ کس طرح میلویئر دراصل کام کرتا ہے۔ ہماری بہن سائٹ، سوفوس نیوز پر، جہاں سوفوس ایکس اوپس شائع ہوا ہے۔ تجزیہ اور مشورہ آپ کے خطرے کے شکار میں آپ کی مدد کرنے کے لیے۔ اس مضمون میں پتہ لگانے والے ناموں کی فہرست بھی دی گئی ہے جو Sophos پروڈکٹس استعمال کریں گے اگر وہ آپ کے نیٹ ورک میں اس حملے کے کسی بھی عنصر کو تلاش کریں اور اسے بلاک کریں۔ آپ بھی تلاش کر سکتے ہیں a مفید فہرست نام نہاد IoCs، یا سمجھوتہ کے اشارے، پر سوفوس لیبز گٹ ہب صفحات IoCs آپ کو بتاتے ہیں کہ ان ثبوتوں کو کیسے تلاش کیا جائے جو آپ پر حملہ کیا گیا تھا، URLs کی شکل میں جو آپ کے لاگز میں ظاہر ہو سکتے ہیں، آپ کے کمپیوٹرز پر تلاش کرنے کے لیے معلوم خراب فائلیں، وغیرہ۔

---

مزید جاننے کی ضرورت ہے؟ IOCS، تجزیہ اور پتہ لگانے کے ناموں پر نظر رکھیں

---

• ابھی کے لیے 3CX کی ویب پر مبنی ٹیلی فونی ایپ استعمال کرنے پر سوئچ کریں۔ کمپنی کہتی ہے: "ہم پرزور مشورہ دیتے ہیں کہ آپ اس کے بجائے ہماری پروگریسو ویب ایپ (PWA) استعمال کریں۔ PWA ایپ مکمل طور پر ویب پر مبنی ہے اور Electron ایپ کے کام کا 95% کرتی ہے۔ فائدہ یہ ہے کہ اسے کسی قسم کی انسٹالیشن یا اپ ڈیٹ کرنے کی ضرورت نہیں ہے اور کروم ویب سیکیورٹی خود بخود لاگو ہوجاتی ہے۔
• 3CX سے مزید مشورے کا انتظار کریں کیونکہ کمپنی کو کیا ہوا اس کے بارے میں مزید پتہ چل گیا ہے۔ 3CX نے بظاہر پہلے ہی معلوم خراب URLs کی اطلاع دی ہے جو میلویئر مزید ڈاؤن لوڈز کے لیے استعمال کرتا ہے، اور یہ دعویٰ کرتا ہے کہ "اکثریت [ان ڈومینز] کو راتوں رات اتار لیا گیا تھا۔" کمپنی کا یہ بھی کہنا ہے کہ اس نے اپنی ونڈوز ایپ کی دستیابی کو عارضی طور پر بند کر دیا ہے، اور جلد ہی ایک نئے ورژن کو دوبارہ بنائے گی جس پر نئے ڈیجیٹل دستخط کے ساتھ دستخط کیے گئے ہیں۔ اس کا مطلب ہے کہ کسی بھی پرانے ورژن کو واضح طور پر پرانے دستخطی سرٹیفکیٹ کو بلاک لسٹ کر کے شناخت اور صاف کیا جا سکتا ہے، جو دوبارہ استعمال نہیں کیا جائے گا۔
• اگر آپ کو یقین نہیں ہے کہ کیا کرنا ہے، یا آپ کے پاس خود کرنے کا وقت نہیں ہے، تو مدد کے لیے کال کرنے سے نہ گھبرائیں۔ آپ سوفوس کو پکڑ سکتے ہیں۔ منظم کھوج اور جواب (MDR) یا سوفوس فوری ردعمل (RR) ہماری مرکزی ویب سائٹ کے ذریعے۔

---

• SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
• پلیٹو بلاک چین۔ Web3 Metaverse Intelligence. علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
• ماخذ: https://nakedsecurity.sophos.com/2023/03/30/supply-chain-blunder-puts-3cx-telephone-app-users-at-risk/