Allerta di sicurezza per i clienti di 3CX, un popolare software per la telefonia VoIP che conta nel mondo oltre 600mila installazioni e 12 milioni di utenti, e che vanta tra i propri clienti aziende del calibro di American Express, Air France, Bmw, Honda, Toyota, Coca-Cola e McDonald’s. Gli esperti di cybersicurezza di Sophos hanno identificato la presenza di una vulnerabilità nell’applicazione desktop per Windows di 3CX, ovvero un file di installazione che è in grado di caricare nel dispositivo ospite un payload dannoso.
Naturalmente, un file di questo genere non era previsto in 3CXDesktopApp e la sua presenza è il frutto di un attacco di supply chain: in altre parole è molto probabile che una mano cybercriminale abbia inserito l’elemento malevolo all’interno dell’applicazione. Sophos ha spiegato che il file di installazione utilizzata un sideloading di DLL (libreria a collegamento dinamico) per caricare il payload dannoso e codificato.
“Le tattiche e le tecniche utilizzate non sono nuove, in quanto sono simili alle attività di DLL sideloading già rilevate in precedenza”, ha dichiarato Mat Gangwer, vicepresidente managed threat response di Sophos. “I nostri esperti hanno identificato tre dei componenti cruciali di questo scenario di sideloading DLL incorporati nel pacchetto del fornitore. Continueremo a fornire aggiornamenti sull'evolversi della situazione”.
Pierre Jourdan, Ciso di 3CX, si è fatto carico di comunicare la notizia, spiegando che il problema di sicurezza risiede nelle versioni 18.12.407 e 18.12.416 della Windows Electron App, incluse nell’Update 7. I domini contattati dalle libreria compromessa sono stati segnalati e messi offline, in modo da renderli inoffensivii. La maggior parte dei sistemi target, benché contenenti il file “dormiente”, non sono stati infettati. Il Ciso ha sottolineato che sembra essersi trattato di “un attacco mirato da una Advanced Persistent Threat, forse persino state-sponsored”, realizzato attraverso la supply chain.
Al momento 3CX sta lavorando per il rilascio di un aggiornamento dell’applicazione per Windows, epurato dal problema, nonché per l’emissione di un nuovo certificato. L’azienda suggerisce, nel frattempo, di usare l’applicazione Web di 3CX, che non richiede installazione ed è protetta automaticamente dalle misure di sicurezza del browser. Intanto Sophos ha pubblicato lo strumento di endpoint detection Troj/Loader-AF, bloccando l'elenco dei domini C2 noti associati alla minaccia.