.
O CEO do provedor de software VoIP 3CX provocado o lançamento iminente de uma atualização com foco em segurança para o cliente progressivo de aplicativos da Web da empresa.
“Após nosso incidente de segurança, decidimos fazer uma atualização com foco inteiramente na segurança”, escreveu o CEO Nick Galea na segunda-feira.
Caso você tenha perdido, esse incidente foi no final de março ataque à cadeia de suprimentos que viu o aplicativo de desktop Windows Electron da empresa comprometido por malware.
Galea disse que os lançamentos Alpha e Beta do cliente atualizado estrearão na semana de 17 de abril, com o lançamento completo a seguir na semana do dia 24.
O primeiro recurso mencionado por Galea virá para o aplicativo progressivo da web (PWA) da 3CX, que ganhará um Busy Lamp Field, uma versão do software do LED que acende em telefones físicos para indicar se um ramal está ocupado.
Galea então afirma “Todos os usuários que usam um telefone de mesa ou um aplicativo Android/iOS para a chamada real devem usar o cliente PWA e recomenda seu uso sempre que possível, apesar de uma futura atualização do aplicativo de desktop da empresa.
Sua postagem então começa a discutir segurança, com a notícia de que “Nesta atualização todas as senhas da web são hash no sistema”.
“Isso não significa que eles eram completamente inseguros antes. Você ainda precisava de direitos de administrador para acessá-los. Mas não é uma boa prática e foi objeto do CVE-2021-45491.”
O que foi mencionado acima CVE foi publicado em 17 de março de 2023 e descreveu o fato de que as senhas do 3CX eram armazenadas como texto simples.
“O hashing de senhas se aplica apenas ao login do Web Client”, explicou Galea. “Por motivos de compatibilidade com versões anteriores, não faremos hash de ID e senha de autenticação SIP, tronco SIP e senhas de gateway ou senhas de túnel. Se invadidas, essas credenciais só podem ser usadas para obter acesso de chamada ao PBX. Essas credenciais de usuário não podem ser elevadas para fazer login no PBX. Em compilações futuras, também faremos o hash dessas senhas.”
Outra alteração verá as senhas excluídas dos e-mails de boas-vindas enviados a novos usuários.
“O e-mail de boas-vindas costumava ter a senha do Web Client, bem como o arquivo de configuração para a configuração antiga do aplicativo”, escreveu Galea. “Agora estamos removendo isso do e-mail de boas-vindas.”
Outra alteração recebida adicionará à capacidade atual de limitar o acesso por IP para o console de gerenciamento. “Agora você também pode fazer isso para administradores de sistema que têm acesso à seção Admin no Web Client”, escreveu Galea.
Impressões digitais norte-coreanas por toda parte
Também na segunda-feira, 3CX CISO Pierre Jourdan Publicados resultados iniciais da investigação da Mandiant na cadeia de suprimentos do software do fornecedor de VoIP.
“Com base na investigação da Mandiant sobre a intrusão 3CX e o ataque à cadeia de suprimentos até agora, eles atribuem a atividade a um cluster chamado UNC4736. A Mandiant avalia com alta confiança que a UNC4736 tem um nexo norte-coreano”, escreveu Jourdan.
“A Mandiant determinou que o invasor infectou sistemas 3CX direcionados com o malware TAXHAUL (também conhecido como “TxRLoader”)”, acrescentou.
“No Windows, o invasor usou o carregamento lateral de DLL para obter persistência para o malware TAXHAUL. O carregamento lateral de DLL acionou os sistemas infectados para executar o malware do invasor no contexto de binários legítimos do Microsoft Windows, reduzindo a probabilidade de detecção de malware. O mecanismo de persistência também garante que o malware invasor seja carregado na inicialização do sistema, permitindo que o invasor mantenha o acesso remoto ao sistema infectado pela Internet.”
A Mandiant também detectou o que Jourdan descreveu como “um backdoor do MacOS, atualmente denominado SIMPLESEA, localizado em /Library/Graphics/Quartz (MD5: d9d19abffc2c7dac11a16745f4aea44f)”. A Mandiant não tem certeza se o SIMPLESEA está relacionado a outras famílias de malware.
O malware que infectou os produtos da 3CX se comunica com a infraestrutura de comando e controle que usa URLS, incluindo “azureonlinecloud”, “akamaicontainer” e “msboxonline”. Strong The One tentei fazer ping em todos eles – apenas msboxonline.com retornou um pacote.
Strong The One entende que a 3CX pretende oferecer um relato detalhado do ataque à cadeia de suprimentos. Aguardamos com interesse. ®
.
