A empresa de comunicações VoIP 3CX alertou hoje os clientes para desativar as integrações de banco de dados SQL devido aos riscos potenciais associados ao que descreve como uma vulnerabilidade potencial.
Embora o comunicado de segurança divulgado hoje não contenha informações específicas sobre o problema, ele aconselha os clientes a tomarem medidas preventivas, desativando suas integrações de banco de dados MongoDB, MsSQL, MySQL e PostgreSQL.
“Se você estiver usando uma integração de banco de dados SQL, ela estará potencialmente sujeita a uma vulnerabilidade – dependendo da configuração”, disse Pierre Jourdan, diretor de segurança da informação da 3CX.
“Como medida de precaução, e enquanto trabalhamos numa correção, siga as instruções abaixo para desativá-lo.”
Jourdan explicou que o problema de segurança afeta apenas as versões 18 e 20 do software Voice Over Internet Protocol (VOIP) da 3CX. Além disso, nem todas as integrações de CRM baseadas na web são afetadas.
Uma postagem no site da comunidade da empresa foi compartilhada hoje com um link para o comunicado de segurança, mas sem informações adicionais.
Tanto a postagem no fórum quanto o comunicado foram bloqueados quando este artigo foi publicado e comentários não foram permitidos.
Ataque à cadeia de abastecimento de março de 2023
Em março, a 3CX divulgou que seu cliente de desktop baseado em 3CXDesktopApp Electron foi trojanizado em um ataque à cadeia de suprimentos pelo grupo de hackers norte-coreano UNC4736 para distribuir malware.
A divulgação foi adiada porque a empresa demorou mais de uma semana para reagir a uma série de relatórios de clientes dizendo que o software havia sido marcado como malicioso por várias empresas de segurança cibernética, incluindo CrowdStrike, SentinelOne, ESET, Palo Alto Networks e SonicWall.
Conforme descoberto posteriormente pela empresa de segurança cibernética Mandiant, o hack 3CX resultou de outro ataque à cadeia de suprimentos que impactou a empresa de automação de negociação de ações Trading Technologies.
A 3CX afirma que seu sistema telefônico tem mais de 12 milhões de usuários diários e é usado por mais de 350.000 empresas em todo o mundo, incluindo organizações e empresas de alto perfil como Air France, Serviço Nacional de Saúde do Reino Unido, BMW, Toyota, PepsiCo, American Express, Coca- Cola, IKEA, Honda e Renault.
Atualização de 15 de dezembro, 15:52 EST: 3CX CISO Pierre Jourdan diz que apenas 0,25% da base de usuários “tem sequência integrada”. Com os seus produtos utilizados por pelo menos 350.000 empresas, de acordo com a 3CX, um mínimo de 875 clientes poderiam ser potencialmente afetados por este problema de segurança não revelado.
Atualização em 15 de dezembro, 18:41 EST: Embora a empresa ainda não tenha fornecido informações detalhadas sobre a falha de segurança que gerou o aviso de hoje, o BleepingComputer foi informado de que é uma vulnerabilidade de injeção SQL na integração do 3CX CRM com bancos de dados SQL.
O bug de segurança foi descoberto em 11 de outubro, com o pesquisador de segurança e o Centro de Coordenação da Equipe de Resposta a Emergências Informáticas (CERT/CC) tentando relatá-lo ao 3CX sem sucesso por mais de dois meses, embora o contato tenha sido estabelecido com o suporte ao cliente da empresa em o primeiro dia.
O pesquisador de segurança diz que o Diretor de Operações da 3CX reconheceu o relatório hoje, 15 de dezembro. A empresa também alertou hoje os clientes para desativar as integrações SQL/CRM para bloquear ataques de injeção de SQL que exploram essa falha, mas sem fornecer detalhes que permitiriam que atores mal-intencionados obtivessem as informações necessárias. para começar a abusar dele na natureza.
Atualização em 16 de dezembro, 04:51 EST: Ruth Elizabeth Abbott, Diretora de Operações da 3CX, confirmou o cronograma de divulgação compartilhado pelo pesquisador em uma declaração compartilhada com o BleepingComputer.
Atualização de 16 de dezembro, 11h49 EST: Informações revisadas sobre o ataque à cadeia de suprimentos 3CX de março.
Comentários