Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Oficjalna aktualizacja popularnego narzędzia 3CX zainfekowana. Alert dla klientów
Oświadczenie o całym incydencie możecie znaleźć tutaj (TLDR: zainfekowano appkę 3CX w wersji na Windowsa oraz Maca):
Early this morning we informed our partners and customers that our electron windows app shipped in Update 7, version numbers 18.12.407 & 18.12.416, included a severe security issue. We since learned that Electron Mac App version numbers 18.11.1213, 18.12.402, 18.12.407 & 18.12.416 have also been affected. Fortunately, anti-virus vendors flagged the executable 3CXDesktopApp.exe and blocked it.
Ostatnie „fortunately” nie jest takie do końca w pełni „fortunately” – tylko część antywirusów oflagowała binarkę jako podejrzaną.
W każdym razie sprawa może być dość poważna (3CX posiada około 600 000 klientów na całym świecie). Zainfekowane binarki zostały poprawnie podpisane przez 3CX, co oznacza najpewniej zhackowanie infrastruktury umożliwiającej publikowanie nowych wersji oprogramowania.
Wg tej analizy, pierwsze przygotowania (fragmenty działającej infrastruktury malware) zostały dostrzeżone już pod koniec 2022 roku (przykładowo część dodatkowych komponentów malware dociągał z adresu: https://github[.]com/IconStorages/images/)
Tutaj zestaw domen, z których mógł być dociągany dodatkowy, złośliwy kod (w przypadku wersji na Maca domeny lekko się różnią):
Analiza całości malware jeszcze trwa – ale wygląda, że złośliwe oprogramowanie to stealer (wykrada dane z systemu operacyjnego / przeglądarek).
W międzyczasie wydano zaktualizowaną wersję aplikacji, która najpewniej nie jest zainfekowana, chociaż producent odradza używanie jakiejkolwiek jej wersji – do czasu aż nie będzie pewności że wszystko już jest „czyste” (dodatkowe rekomendacje postępowania, jeśli korzystaliście z appki 3CX możecie znaleźć tutaj):
In a day or two from now, we will have another Electron App rebuilt from the ground up with a new signed certificate. This is expected to be completely secure. We strongly recommend that you avoid using the Electron App unless there is absolutely no alternative. The Electron App update that we are releasing today is considered to be secure but there is no guarantee given that we only had 24 hours to make the necessary adjustments.
~ms
Sam korzystam z 3cx. Na komputerze służbowym, miałem wersję dużo starszą.
Ale na domowym, antywirus wykryl trojana już po zainstalowaniu aktualizacji.
Dla pewności odinstalowałem obydwa.
Info od dostawcy
Dzień dobry,
chciałbym poinformować że dziś otrzymaliśmy informację o tym, że w oprogramowaniu 3CX znaleziono lukę w zabezpieczeniach
Śledzimy na bieżąco sytuację związaną z incydentem bezpieczeństwa. Zagrożenie dotyczy najnowszej wersji centrali 18 update 7.
W celu zabezpieczenia Państwa systemów przed ewentualnymi zagrożeniami, rekomendujemy instalację aplikacji 3cx w wersji 16.0.1, którą załączamy do niniejszego komunikatu. Podjęliśmy również kontakt z działem wsparcia technicznego 3cx, dzięki czemu mamy pewność, że bezpieczeństwo naszych klientów nie jest zagrożone.
W celu uzyskania oficjalnych informacji na temat tego incydentu, zachęcamy do odwiedzenia strony internetowej 3cx pod adresem:
https://www.3cx.com/blog/news/desktopapp-security-alert/
Jeśli posiadają państwo inną wersję aplikacji niż 18.12. i nie dotyczy państwa update 7 to aplikacja innej wersji jest bezpieczna.
Witam; Mam pytanie do wszystkich? Czy można cokolwiek zrobić w Windowsie, tak aby nie można było zhakować, oszukać, ukraść? Dlaczego zadaję takie pytanie? Od pierwszego dnia istnienia tego systemu, wszystko można zhakować… Czy to jest przypadek, czy nieudolność projektantów tego systemu, czy system jest wadliwej konstrukcji ? Lata mijają, a tutaj wciąż jest wadliwy system… Ciekawe czy doczekam takiego dnia, że ktoś powie ten SYSTEM- jest już bezpieczny, i nie da rady do niego się włamać…
A może to jest celowo zrobione, na szkodę użytkowników… Sam już nie wiem co o tym wszystkim mam myśleć?
Pozdrawiam użytkowników i Sekuraka.
Co oznacza [.] W adresach?
To sposob na zabezpieczenie domen glownie po to zeby nie byly one interpretowane jako klikalne linki.