Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Försörjningskedjans misstag sätter 3CX telefonappanvändare i riskzonen

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 105
by Paul Ducklin

NB. Detektionsnamn du kan kontrollera om du använder Sophos produkter och tjänster
är tillgängliga från Sophos X-Ops team på vår systersida Sophos Nyheter.

Internettelefoniföretaget 3CX varnar sina kunder för malware som uppenbarligen vävdes in i företagets egen 3CX Desktop-app av cyberbrottslingar som verkar ha fått tillgång till en eller flera av 3CX:s källkodsförråd.

Som du kan föreställa dig, med tanke på att företaget kämpar inte bara för att ta reda på vad som hände, utan också för att reparera och dokumentera vad som gick fel, har 3CX inte mycket detaljer att dela om händelsen ännu, men det står, precis kl. den allra högsta av dess officiella säkerhetsvarning:

Problemet verkar vara ett av de medföljande biblioteken som vi kompilerade till Windows Electron-appen via Git.

Vi undersöker fortfarande saken för att kunna ge ett mer djupgående svar senare idag [2023-03-30].

Electron är namnet på en stor och superkomplicerad men extremt kraftfull programmeringsverktygssats som ger dig ett helt webbläsarliknande gränssnitt för din programvara, redo att användas.

Till exempel, istället för att behålla din egen användargränssnittskod i C eller C++ och arbeta direkt med, säg, MFC på Windows, Cocoa på macOS och Qt på Linux...

…du paketerar i Electrons verktygslåda och programmerar huvuddelen av din app i JavaScript, HTML och CSS, som om du byggde en webbplats som skulle fungera i vilken webbläsare som helst.

Med makt kommer ansvar

Om du någonsin har undrat varför populära appnedladdningar som Visual Studio Code, Zoom, Teams och Slack är så stora som de är, beror det på att de alla inkluderar en konstruktion av Electron som kärnan för "programmeringsmotorn" för själva appen.

Den goda sidan med verktyg som Electron är att de i allmänhet gör det enklare (och snabbare) att bygga appar som ser bra ut, som fungerar på ett sätt som användarna är välbekanta med och som inte beter sig helt olika på olika operativsystem .

Den dåliga sidan är att det finns mycket mer underylande grundkod som du behöver hämta från ditt eget (eller kanske från någon annans) källkodsförråd varje gång du bygger om din egen app, och även blygsamma appar hamnar vanligtvis på flera hundra megabyte i storlek när de laddas ner, och ännu större efter att de har installerats.

Det är dåligt, åtminstone i teorin.

Löst sagt, ju större din app är, desto fler sätt finns det för att det ska gå fel.

Och även om du förmodligen är bekant med koden som utgör de unika delarna av din egen app, och du är utan tvekan väl placerad för att granska alla ändringar från en utgåva till nästa, är det mycket mindre troligt att du har samma slags förtrogenhet med den underliggande elektronkoden som din app förlitar sig på.

Det är därför osannolikt att du kommer att ha tid att uppmärksamma alla förändringar som kan ha införts i "boilerplate" Electron-delarna av din byggnad av teamet av öppen källkodsvolontärer som utgör själva Electron-projektet.

Attackera den stora biten som är mindre välkänd

Med andra ord, om du behåller din egen kopia av Electron-förvaret och angripare hittar en väg in i ditt källkodskontrollsystem (i 3CX:s fall använder de tydligen det mycket populära programvara för det)...

…då kan dessa angripare besluta sig för att booby-trap nästa version av din app genom att injicera deras skadliga bitar och bitar i elektrondelen av ditt källträd, istället för att försöka bråka med din egen proprietära kod.

När allt kommer omkring tar du antagligen Electron-koden för given så länge den ser "för det mesta likadan ut som tidigare", och du är nästan säkert bättre lämpad att upptäcka oönskade eller oväntade tillägg i ditt eget teams kod än i ett gigantiskt beroendeträd av källkod som skrevs av någon annan.

När du granskar ditt eget företags egen kod, [A] har du förmodligen sett den förut, och [B] kan du mycket väl ha deltagit i de möten där förändringarna nu dyker upp i din diffar diskuterades och kom överens. Du är mer benägen att bli inställd på, och mer proprietär – känslig, om du vill – om ändringar i din egen kod som inte ser rätt ut. Det är lite som skillnaden mellan att märka att något är ur funktion när du kör din egen bil än när du ger dig av i ett hyrfordon på flygplatsen. Inte för att du inte bryr dig om den hyrda bilen för att den inte är din (hoppas vi!), utan helt enkelt att du inte har samma historia och, i brist på ett bättre ord, samma intimitet med den.

Vad göra?

Enkelt uttryckt, om du är en 3CX-användare och du har företagets skrivbordsapp på Windows eller macOS, bör du:

  • Avinstallera det direkt. De skadliga tilläggen i den booby-fällda versionen kan ha kommit antingen i en nyligen färsk installation av appen från 3CX, eller som bieffekten av en officiell uppdatering. De skadliga versionerna byggdes och distribuerades uppenbarligen av 3CX själv, så de har de digitala signaturer du kan förvänta dig från företaget, och de kom nästan säkert från en officiell 3CX-nedladdningsserver. Med andra ord, du är inte immun bara för att du undvikit alternativa eller inofficiella nedladdningssidor. Känd dålig produkt versionsnummer finns i 3CX:s säkerhetsvarning.
  • Kontrollera din dator och dina loggar för kontrollanta tecken på skadlig programvara. Att bara ta bort 3CX-appen räcker inte för att rensa upp, eftersom denna skadliga programvara (som de flesta moderna skadliga program) själv kan ladda ner och installera ytterligare skadlig programvara. Du kan läsa mer om hur malware fungerar faktiskt på vår systersajt, Sophos News, där Sophos X-Ops har publicerat analys och rådgivning för att hjälpa dig i din hotjakt. Den artikeln listar också de upptäcktsnamn som Sophos-produkter kommer att använda om de hittar och blockerar några delar av denna attack i ditt nätverk. Du kan också hitta en användbar lista av så kallade IoCs, eller indikatorer på kompromissÅ SophosLabs GitHub sidor. IoCs berättar hur du hittar bevis på att du blivit attackerad, i form av webbadresser som kan dyka upp i dina loggar, kända dåliga filer att söka efter på dina datorer och mer.

BEHÖVER VETA MER? HÅLL SPÅR PÅ IOCS, ANALYS OCH DETEKTIONSNAMN

  • Byt till att använda 3CX:s webbaserade telefoniapp för tillfället. Företaget säger: "Vi rekommenderar starkt att du använder vår Progressive Web App (PWA) istället. PWA-appen är helt webbaserad och gör 95 % av vad Electron-appen gör. Fördelen är att det inte kräver någon installation eller uppdatering och Chrome webbsäkerhet tillämpas automatiskt."
  • Vänta på ytterligare råd från 3CX eftersom företaget får reda på mer om vad som hände. 3CX har tydligen redan rapporterat de kända dåliga webbadresserna som skadlig programvara använder för ytterligare nedladdningar, och hävdar att "majoriteten [av dessa domäner] togs ner över en natt." Företaget säger också att det tillfälligt har upphört med sin Windows-app och kommer snart att bygga om en ny version som är signerad med en ny digital signatur. Detta innebär att alla gamla versioner kan identifieras och rensas genom att explicit blockera det gamla signeringscertifikatet, som inte kommer att användas igen.
  • Om du inte är säker på vad du ska göra, eller inte har tid att göra det själv, var inte rädd för att ringa efter hjälp. Du kan få tag på Sophos Hanterad upptäckt och svar (MDR) eller Sophos Snabbt svar (RR) via vår huvudwebbplats.
plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.