Sai lầm trong chuỗi cung ứng khiến người dùng ứng dụng điện thoại 3CX gặp rủi ro

Sai lầm trong chuỗi cung ứng khiến người dùng ứng dụng điện thoại 3CX gặp rủi ro

Dấu thời gian: Ngày 30 tháng 2023 năm 1 36:XNUMX CH
Nút nguồn: 2552567
by Paul Ducklin

NB. tên phát hiện bạn có thể kiểm tra xem bạn có sử dụng các sản phẩm và dịch vụ của Sophos không
có sẵn từ Nhóm X-Ops của Sophos trên trang web chị em của chúng tôi Tin tức về Sophos.

Công ty điện thoại Internet 3CX đang cảnh báo khách hàng của mình về phần mềm độc hại dường như đã được tội phạm mạng đưa vào Ứng dụng máy tính để bàn 3CX của chính công ty, những kẻ dường như đã giành được quyền truy cập vào một hoặc nhiều kho lưu trữ mã nguồn của 3CX.

Như bạn có thể tưởng tượng, do công ty đang cố gắng không chỉ để tìm ra điều gì đã xảy ra mà còn để sửa chữa và ghi lại những gì đã xảy ra, 3CX chưa có nhiều thông tin chi tiết để chia sẻ về vụ việc, nhưng nó nêu rõ, ngay tại chính thức hàng đầu của nó cảnh báo an ninh:

Vấn đề dường như là một trong những thư viện đi kèm mà chúng tôi đã biên dịch vào Ứng dụng Windows Electron qua Git.

Chúng tôi vẫn đang nghiên cứu vấn đề này để có thể đưa ra phản hồi chi tiết hơn sau ngày hôm nay [2023-03-30].

Electron là tên của bộ công cụ lập trình lớn và siêu phức tạp nhưng cực kỳ mạnh mẽ cung cấp cho bạn toàn bộ giao diện người dùng kiểu trình duyệt cho phần mềm của bạn, sẵn sàng hoạt động.

Ví dụ: thay vì duy trì mã giao diện người dùng của riêng bạn bằng C hoặc C++ và làm việc trực tiếp với MFC trên Windows, Cocoa trên macOS và Qt trên Linux…

…bạn tích hợp bộ công cụ Electron và lập trình phần lớn ứng dụng của mình bằng JavaScript, HTML và CSS, như thể bạn đang xây dựng một trang web hoạt động trên bất kỳ trình duyệt nào.

Quyền lực đi kèm với trách nhiệm

Nếu bạn đã từng thắc mắc tại sao số lượt tải xuống ứng dụng phổ biến như Visual Studio Code, Zoom, Teams và Slack lại lớn như vậy, thì đó là bởi vì tất cả chúng đều bao gồm một bản dựng Electron làm “công cụ lập trình” cốt lõi cho chính ứng dụng đó.

Mặt tốt của các công cụ như Electron là chúng thường giúp dễ dàng hơn (và nhanh hơn) để xây dựng các ứng dụng có giao diện đẹp, hoạt động theo cách mà người dùng quen thuộc và không hoạt động hoàn toàn khác nhau trên mỗi hệ điều hành khác nhau .

Mặt xấu là có nhiều mã nền tảng cơ bản hơn mà bạn cần lấy xuống từ kho lưu trữ mã nguồn của riêng bạn (hoặc có thể từ người khác) mỗi khi bạn xây dựng lại ứng dụng của riêng mình và ngay cả những ứng dụng khiêm tốn cũng thường có dung lượng vài trăm MB về kích thước khi chúng được tải xuống và thậm chí còn lớn hơn sau khi chúng được cài đặt.

Điều đó thật tệ, ít nhất là trên lý thuyết.

Nói một cách đơn giản, ứng dụng của bạn càng lớn thì càng có nhiều cách để xảy ra sự cố.

Và mặc dù bạn có thể đã quen thuộc với mã tạo nên các phần độc đáo trong ứng dụng của riêng mình và bạn chắc chắn có đủ khả năng để xem xét tất cả các thay đổi từ bản phát hành này sang bản phát hành tiếp theo, nhưng ít có khả năng bạn có cùng một loại quen thuộc với mã Electron cơ bản mà ứng dụng của bạn dựa vào.

Do đó, không chắc là bạn sẽ có thời gian để chú ý đến tất cả những thay đổi có thể đã được đưa vào các phần Electron “bản mẫu” trong bản dựng của bạn bởi nhóm tình nguyện viên nguồn mở, những người tạo nên chính dự án Electron.

Tấn công phần lớn ít được biết đến

Nói cách khác, nếu bạn đang giữ bản sao kho lưu trữ Electron của riêng mình và những kẻ tấn công tìm cách xâm nhập vào hệ thống kiểm soát mã nguồn của bạn (trong trường hợp của 3CX, rõ ràng chúng đang sử dụng công cụ rất phổ biến đi phần mềm cho điều đó)…

…thì những kẻ tấn công đó có thể quyết định gài bẫy phiên bản tiếp theo của ứng dụng của bạn bằng cách đưa các bit và phần độc hại của chúng vào phần Electron của cây nguồn của bạn, thay vì cố gắng gây rối với mã độc quyền của riêng bạn.

Xét cho cùng, bạn có thể coi mã Electron là điều hiển nhiên miễn là nó trông “hầu như giống như trước đây”, và bạn gần như chắc chắn có vị trí tốt hơn để phát hiện ra những phần bổ sung không mong muốn hoặc không mong muốn trong mã của nhóm mình hơn là trong một cây phụ thuộc khổng lồ gồm mã nguồn do người khác viết.

Khi bạn đang xem lại mã riêng của công ty mình, [A] có thể bạn đã thấy nó trước đây và [B] rất có thể bạn đã tham dự các cuộc họp trong đó những thay đổi hiện đang hiển thị trong tài liệu của bạn. khác biệt đã được thảo luận và thống nhất. Bạn có nhiều khả năng được điều chỉnh và sở hữu nhiều hơn - nhạy cảm hơn, nếu bạn muốn - về những thay đổi trong mã của riêng bạn có vẻ không ổn. Nó giống như sự khác biệt giữa việc nhận thấy có điều gì đó không bình thường khi bạn lái ô tô của chính mình so với khi bạn bắt đầu bằng một chiếc xe thuê ở sân bay. Không phải bạn không quan tâm đến chiếc xe thuê vì nó không phải của bạn (chúng tôi hy vọng như vậy!), mà đơn giản là bạn không có cùng lịch sử và muốn nói một cách hay hơn là cùng mối quan hệ thân thiết với nó.

Phải làm gì?

Nói một cách đơn giản, nếu bạn là một người dùng 3CX và bạn đã có Ứng dụng Máy tính để bàn của công ty trên Windows hoặc macOS, bạn nên:

  • Gỡ cài đặt nó ngay lập tức. Các tiện ích bổ sung độc hại trong phiên bản bẫy bẫy có thể xuất hiện trong bản cài đặt mới, gần đây của ứng dụng từ 3CX hoặc dưới dạng tác dụng phụ của bản cập nhật chính thức. Các phiên bản có phần mềm độc hại dường như được xây dựng và phân phối bởi chính 3CX, vì vậy chúng có chữ ký số mà bạn mong đợi từ công ty và gần như chắc chắn chúng đến từ máy chủ tải xuống chính thức của 3CX. Nói cách khác, bạn không được miễn dịch chỉ vì bạn đã tránh xa các trang tải xuống thay thế hoặc không chính thức. sản phẩm xấu số phiên bản có thể được tìm thấy trong cảnh báo bảo mật của 3CX.
  • Kiểm tra máy tính và nhật ký của bạn để biết các dấu hiệu nhận biết về phần mềm độc hại. Chỉ xóa ứng dụng 3CX là không đủ để dọn sạch, vì phần mềm độc hại này (giống như hầu hết phần mềm độc hại hiện đại) có thể tự tải xuống và cài đặt phần mềm độc hại bổ sung. Bạn có thể đọc thêm về cách phần mềm độc hại thực sự hoạt động trên trang web chị em của chúng tôi, Sophos News, nơi Sophos X-Ops đã xuất bản phân tích và lời khuyên để giúp bạn trong việc săn lùng mối đe dọa của bạn. Bài viết đó cũng liệt kê các tên phát hiện mà các sản phẩm của Sophos sẽ sử dụng nếu chúng tìm và chặn bất kỳ phần tử nào của cuộc tấn công này trong mạng của bạn. Bạn cũng có thể tìm thấy một danh sách hữu ích của cái gọi là IoC, hoặc các chỉ số của sự thỏa hiệp, Trên SophosLabs GitHub trang. IoC cho bạn biết cách tìm bằng chứng bạn đã bị tấn công, dưới dạng các URL có thể hiển thị trong nhật ký của bạn, các tệp xấu đã biết để tìm kiếm trên máy tính của bạn, v.v.

CẦN BIẾT THÊM? THEO DÕI IOCS, PHÂN TÍCH VÀ PHÁT HIỆN TÊN

  • Chuyển sang sử dụng ứng dụng điện thoại dựa trên web của 3CX ngay bây giờ. Công ty cho biết: “Chúng tôi thực sự khuyên bạn nên sử dụng Ứng dụng web lũy tiến (PWA) của chúng tôi để thay thế. Ứng dụng PWA hoàn toàn dựa trên web và thực hiện được 95% những gì ứng dụng Electron thực hiện. Ưu điểm là nó không yêu cầu bất kỳ cài đặt hay cập nhật nào và bảo mật web Chrome được áp dụng tự động.”
  • Chờ lời khuyên thêm từ 3CX khi công ty tìm hiểu thêm về những gì đã xảy ra. 3CX rõ ràng đã báo cáo các URL xấu đã biết mà phần mềm độc hại sử dụng để tải xuống thêm và tuyên bố rằng “phần lớn [trong số các miền này] đã bị gỡ xuống chỉ sau một đêm”. Công ty cũng cho biết họ đã tạm thời ngừng cung cấp ứng dụng Windows của mình và sẽ sớm xây dựng lại một phiên bản mới được ký bằng chữ ký số mới. Điều này có nghĩa là bất kỳ phiên bản cũ nào cũng có thể được xác định và xóa bằng cách liệt kê rõ ràng chứng chỉ ký cũ, chứng chỉ này sẽ không được sử dụng lại.
  • Nếu bạn không chắc phải làm gì hoặc không có thời gian để tự làm, đừng ngại gọi trợ giúp. Bạn có thể sử dụng Sophos Phát hiện và phản hồi được quản lý (MDR) hoặc Sophos Hồi đáp nhanh (RR) thông qua trang web chính của chúng tôi.

Dấu thời gian:

Thêm từ An ninh trần trụi