Η εταιρεία επικοινωνιών VoIP 3CX προειδοποίησε
σήμερα
τους πελάτες να απενεργοποιήσουν τις ενσωματώσεις βάσεων δεδομένων SQL λόγω των κινδύνων που ενέχει αυτό που περιγράφει ως πιθανή ευπάθεια.
Αν και η συμβουλή ασφαλείας που κυκλοφόρησε σήμερα δεν διαθέτει συγκεκριμένες πληροφορίες σχετικά με το ζήτημα, συμβουλεύει τους πελάτες να λάβουν προληπτικά μέτρα απενεργοποιώντας τις ενσωματώσεις βάσεων δεδομένων MongoDB, MsSQL, MySQL και PostgreSQL.
“Εάν χρησιμοποιείτε μια ενοποίηση βάσης δεδομένων SQL, υπόκειται ενδεχομένως σε ευπάθεια – ανάλογα με τη διαμόρφωση”, δήλωσε ο επικεφαλής της ασφάλειας πληροφοριών της 3CX, Pierre Jourdan
είπε
.
“Ως προληπτικό μέτρο, και ενώ εργαζόμαστε για μια επιδιόρθωση, ακολουθήστε τις παρακάτω οδηγίες για να την απενεργοποιήσετε.”
Ο Jourdan εξήγησε ότι το ζήτημα ασφαλείας επηρεάζει μόνο τις εκδόσεις 18 και 20 του λογισμικού Voice Over
Internet
Protocol (VOIP) της 3CX.
Επιπλέον
, δεν επηρεάζονται όλες οι ενσωματώσεις CRM που βασίζονται στον ιστό.
ΕΝΑ
Θέση
στον ιστότοπο της κοινότητας της εταιρείας κοινοποιήθηκε νωρίτερα σήμερα, αλλά η ανάρτηση αυτή τη στιγμή είναι κλειδωμένη και δεν επιτρέπονται άλλες απαντήσεις. Η ανάρτηση περιλαμβάνει έναν σύνδεσμο προς την παροχή συμβουλών ασφαλείας, αλλά δεν παρέχονται πρόσθετες πληροφορίες.
Επίθεση στην εφοδιαστική αλυσίδα Μαρτίου 2023
Τον Μάρτιο, η 3CX αποκάλυψε ότι ο υπολογιστής-πελάτης επιτραπέζιου υπολογιστή που βασίζεται σε 3CXDesktopApp
Electron
είχε τρωανοποιηθεί σε μια επίθεση αλυσίδας εφοδιασμού για τη διανομή κακόβουλου λογισμικού.
Η εταιρεία χρειάστηκε πάνω από μία εβδομάδα για να αντιδράσει σε μια ροή αναφορών πελατών που έλεγαν ότι το λογισμικό είχε επισημανθεί ως κακόβουλο από διάφορες εταιρείες κυβερνοασφάλειας, συμπεριλαμβανομένων των CrowdStrike, SentinelOne, ESET, Palo Alto Networks και SonicWall.
Όπως ανακαλύφθηκε αργότερα από την εταιρεία κυβερνοασφάλειας Mandiant, το hack 3CX προέκυψε από μια άλλη επίθεση στην αλυσίδα εφοδιασμού που επηρέασε την εταιρεία αυτοματισμού χρηματιστηρίων Trading Technologies.
Η 3CX λέει ότι το τηλεφωνικό της σύστημα έχει πάνω από 12 εκατομμύρια χρήστες καθημερινά και χρησιμοποιείται από
περισσότερες από 350.000 επιχειρήσεις
παγκοσμίως, συμπεριλαμβανομένων οργανισμών και εταιρειών υψηλού προφίλ όπως η Air France, η Εθνική Υπηρεσία Υγείας του Ηνωμένου Βασιλείου, η PepsiCo, η American Express, η Coca-Cola, η IKEA και πολλές αυτοκινητοβιομηχανίες.
Η 3CX δεν απάντησε σε ένα αίτημα για σχόλιο όταν το BleepingComputer επικοινώνησε νωρίτερα σήμερα.
VIA:
bleepingcomputer.com
