12 milyon kullanıcısı olan telefon sistemini hedef alan tedarik zinciri saldırısı
Birden fazla güvenlik firması, 3CX'in yaygın olarak kullanılan sesli ve görüntülü arama kullanıcılarına uyarıda bulundu. Truva atı (Trojan) sürümünü kullanan aktif bir tedarik zinciri saldırısı dünya çapında 12 milyon kullanıcıyı etkileyen bir tehdit oluşturuyor. 3CX, aralarında BMW, Mercedes, Toyota, McDonald's gibi önde gelen firmaların olduğu 600 binin üzerinde kuruluş tarafından kullanılan bir yazılım ve iletişim alt yapısı olarak dikkat çekiyor.
Teknolojinin gelişimi ile birlikte kişisel bilgi güvenliği son zamanlarda en çok tartışılanlar arasında yer alıyor. Siber güvenlik açıkları da dünyanın en büyük firmalarını dahi etkileyen ve sorun yaşatanlar arasında geliyor. Güvenlik firmalarının yaptığı bu yeni uyarı da 12 milyondan fazla günlük kullanıcıya etki eden bir sorunu işaret ediyor.
600 BİNDEN FAZLA KURULUŞ TARAFINDAN KULLANILIYOR
3CX, American Express, BMW, Honda, Mercedes-Benz, Toyota, Avis, Renault, McDonald's ve İngiltere Ulusal Sağlık Hizmeti de dahil olmak üzere dünya çapında 600.000'den fazla kuruluş tarafından kullanılan yazılım tabanlı bir telefon sisteminin geliştiricisi olarak ortaya çıkan güvenlik açığının çapının büyüklüğü de tartışma yaratıyor.
Siber güvenlik şirketleri CrowdStrike, Sophos ve SentinelOne'dan araştırmacılar, SentinelOne tarafından "Smooth Operator" olarak adlandırılan SolarWinds tarzı bir saldırıyı detaylandıran blog yazıları yayınladılar. Yayınlanan bu içerikte firmalar 3CXDesktopApp’ın içerisine yerleştirilmiş truva atlı (trojan) virüsü ile ilgili tehditlere değiniyor.
KİMLİK BİLGİLERİNİ ÇALABİLİYOR
Bu kötü amaçlı yazılımın, sistem bilgilerini toplayabildiği ve Google Chrome, Microsoft Edge, Brave ve Firefox kullanıcı profillerinden veri ve depolanan kimlik bilgilerini çalabildiği vurgulanıyor. CrowdStrike'a göre, gözlemlenen diğer kötü amaçlı faaliyetler arasında aktör kontrollü altyapıya işaret etme, ikinci aşama yüklerin konuşlandırılması ve az sayıda durumda "uygulamalı klavye etkinliği" yer alıyor.
Güvenlik araştırmacıları, saldırganların güvenliği ihlal edilmiş VoIP uygulamasının hem Windows hem de macOS sürümlerini hedef aldığını bildiriyor. Şu anda, Linux, iOS ve Android sürümlerinin etkilenmediği açıklandı.
“GÜVENLİK SORUNUNUN FARKINDAYIZ”
SentinelOne'daki araştırmacılar, ilk olarak 22 Mart'ta kötü amaçlı etkinlik belirtileri gördüklerini ve hemen anormallikleri araştırdıklarını, bunun da bazı kuruluşların geçerli bir dijital sertifika ile imzalanmış 3CX masaüstü uygulamasının truva atlı bir sürümünü yüklemeye çalıştıklarının keşfedilmesine yol açtığını söyledi. Apple güvenlik uzmanı Patrick Wardle ayrıca Apple'ın kötü amaçlı yazılım için kontroller yaptığı ve hiçbirinin tespit edilmediğinin noter onaylı olarak tastiklendiğini açıkladı.
3CX CISO Pierre Jourdan açıklamada, şirketin Windows ve MacBook uygulamalarını etkileyen bir "güvenlik sorununun" farkında olduğunu belirtti.
“HATAYI TELAFİ ETMEK İÇİN ELİMİZDEN GELENİ YAPACAĞIZ”
Jourdan, bunun ‘Gelişmiş Kalıcı Tehdit, hatta belki de devlet destekli’ bir bilgisayar korsanından hedefli bir saldırı gibi göründüğünü belirtti. CrowdStrike, kötü şöhretli Lazarus Group'un bir alt grubu olan Kuzey Koreli tehdit aktörü Labyrinth Chollima'nın tedarik zinciri saldırısının arkasında olduğunu öne sürüyor.
Geçici bir çözüm olarak, 3CX şirketi müşterilerini uygulamayı kaldırıp tekrar yüklemeye veya alternatif olarak PWA istemcisini kullanmaya çağırıyor. Jourdan, "Bu arada, olanlar için özür diliyoruz ve bu hatayı telafi etmek için elimizden gelen her şeyi yapacağız" dedi.
