3CX meldt een ernstig beveiligingsprobleem met zijn voip-dienst voor Windows en Mac. Het bedrijf werkt aan een volledig nieuwe app en raadt in tussentijd aan om de webversie te gebruiken.
In een melding op de website verklaart 3CX dat het om Update 7 van de Electron Windows-app gaat, die versies 18.12.407 & 18.12.416 omvat. Ook Mac-gebruikers moeten alert zijn, want versies 18.12.407 & 18.12.416 van Elektron Mac zouden ook aangetast zijn. 3CX levert voice over IP-diensten voor bedrijven en heeft grote namen als Coca-Cola, McDonalds’s en Ikea in het klantenbestand zitten.
3CX is nog volop aan het onderzoeken wat er precies gaande is, maar het beveiligingsprobleem zou een gevolg zijn van gecompileerde Git-bibliotheken. De meeste van de gecompromitteerde domeinen zouden inmiddels gerapporteerd en offline gehaald zijn door het bedrijf. Geïnfecteerde clients zouden in de meeste gevallen ook door een antivirussoftware geblokkeerd zijn, stelt CISO Pierre Jourdan toch enigszins gerust.
Supplychainaanval
Toch vreest 3CX dat het lek slechts het begin is van een supplychainaanval. Die conclusie maken ook beveiligingsbedrijven SentinelOne, Sophos en Check Point Research. De bedoeling van de aanvallers is om geïnfecteerde dll-bestanden te verspreiden onder gebruikers van de voip-dienst. Zo injecteren ze malware in een systeem om systeem- en browserinformatie van het slachtoffer te stelen.
In een reactie aan onze redactie geeft Sophos meer uitleg over de werkwijze. “De aanvallers zijn erin geslaagd de toepassing te manipuleren om een installatieprogramma toe te voegen dat DLL sideloading gebruikt om uiteindelijk een kwaadaardige, gecodeerde payload op te halen. De tactieken en technieken zijn niet nieuw, ze zijn vergelijkbaar met DLL sideloading activiteiten die we al eerder zagen”.
Dat supplychainaanvallen grote schade kunnen aanrichten, weet iedereen uit de IT-wereld sinds het fameuze SolarWinds-incident. “Dit is een klassieke supply chain aanval, ontworpen om vertrouwensrelaties tussen een organisatie en externe partijen uit te buiten, waaronder partnerschappen met leveranciers of het gebruik van software van derden waar de meeste bedrijven op de een of andere manier van afhankelijk zijn. Dit incident herinnert ons eraan hoe belangrijk het is dat we zorgvuldig nagaan met wie we zaken doen”, zegt Lotem Finkelstein van Check Point Research.
Nieuwe Windows-app
3CX vermoedt dan ook dat ‘geavanceerde’ actoren achter de aanval zitten en sluit zelf een staatsaanval niet uit. Op dit moment wordt gewerkt aan een volledig nieuwe Windows-client, maar het zal nog zeker 24 uur duren vooraleer die klaar. In afwachting daarvan kunnen gebruikers wel nog terecht bij de webapp, die volgens het bedrijf nog veilig is.
3CX zal spoedig meer informatie over de kwetsbaarheid bekend maken. We volgen de situatie dan ook verder op.