3CX, müşterilerini SQL veritabanı entegrasyonlarını devre dışı bırakmaları konusunda uyarıyor
Güncelleme 17 Aralık, 15:30 EST: 3CX CEO’su Nick Galea tarafından paylaşıldığı gibi, SQL enjeksiyon hatası, 3CX CRM Entegrasyonunda bağımsız güvenlik araştırmacısı Theo Stein tarafından keşfedildi ve şu anda CVE-2023-49954 olarak izleniyor.
“Entegrasyon şablonlarından biri kullanılmışsa (MsSQL, MySQL, PostgreSQL), eğer 3CX sunucusu internette mevcutsa ve 3CX makinesinin önünde herhangi bir Web uygulaması güvenlik duvarı bulunmuyorsa SQL enjeksiyon saldırılarına maruz kalabilirler. Bu durumda Galea, bir veritabanına karşı yürütülen orijinal SQL sorgusunu değiştirmek mümkün” dedi.
“Yalnızca yukarıda belirtilen SQL Veritabanı Şablonları etkilenir (MsSQL, MySQL, PostgreSQL) ve diğer web CRM şablonlarının hiçbiri etkilenmez. MongoDB’yi veya web tabanlı CRM entegrasyon şablonlarımızdan herhangi birini kullanan müşteriler bundan etkilenmez.”
3CX, güvenlik sorununu düzeltmek için Pazartesi günü bir düzeltme (18.0.9.23, 20.0.0.1494) sağlamayı planlıyor. Bu düzeltme yayınlanana kadar müşterilere, CRM çözümü ayarını ‘Yok’ olarak yapılandırarak CRM entegrasyonunu devre dışı bırakmaları önerilir.
VoIP iletişim şirketi 3CX, potansiyel güvenlik açığı olarak tanımladığı durumla ilişkili potansiyel riskler nedeniyle bugün müşterilerini SQL veritabanı entegrasyonlarını devre dışı bırakmaları konusunda uyardı.
Bugün yayınlanan güvenlik danışma belgesinde konuya ilişkin herhangi bir spesifik bilgi bulunmasa da müşterilere MongoDB, MsSQL, MySQL ve PostgreSQL veritabanı entegrasyonlarını devre dışı bırakarak önleyici tedbirler almaları tavsiye ediliyor.
3CX’in bilgi güvenliği şefi Pierre Jourdan, “Eğer bir SQL Veritabanı entegrasyonu kullanıyorsanız, konfigürasyona bağlı olarak potansiyel olarak bir güvenlik açığına tabidir” dedi.
“Bir önlem olarak ve biz bir düzeltme üzerinde çalışırken lütfen aşağıdaki talimatları izleyerek onu devre dışı bırakın.”
Jourdan, güvenlik sorununun 3CX’in İnternet Üzerinden Ses Protokolü (VOIP) yazılımının yalnızca 18 ve 20 sürümlerini etkilediğini açıkladı. Ayrıca web tabanlı CRM entegrasyonlarının tümü etkilenmez.
Şirketin topluluk web sitesinde bugün erken saatlerde güvenlik tavsiyesine bir bağlantı içeren bir gönderi paylaşıldı, ancak ek bilgi verilmedi.
Bu makale yayınlandığında hem forum gönderisi hem de danışma belgesi kilitlendi ve yorumlara izin verilmedi.
Mart 2023 tedarik zinciri saldırısı
Mart ayında 3CX, 3CXDesktopApp Electron tabanlı masaüstü istemcisinin, UNC4736 Kuzey Koreli bilgisayar korsanlığı grubu tarafından kötü amaçlı yazılım dağıtmak amacıyla bir tedarik zinciri saldırısında truva atı haline getirildiğini açıkladı.
Açıklama, şirketin, yazılımın CrowdStrike, SentinelOne, ESET, Palo Alto Networks ve SonicWall dahil olmak üzere çeşitli siber güvenlik şirketleri tarafından kötü amaçlı olarak etiketlendiğini söyleyen bir dizi müşteri raporuna yanıt vermesinin bir haftadan uzun sürmesi nedeniyle ertelendi.
Daha sonra siber güvenlik firması Mandiant tarafından keşfedildiği üzere, 3CX saldırısı, Trading Technologies hisse senedi alım satım otomasyon şirketini etkileyen başka bir tedarik zinciri saldırısından kaynaklandı.
3CX, Telefon Sisteminin günlük 12 milyondan fazla kullanıcıya sahip olduğunu ve Air France, İngiltere Ulusal Sağlık Hizmeti, BMW, Toyota, PepsiCo, American Express, Coca-Cola gibi yüksek profilli kuruluşlar ve şirketler de dahil olmak üzere dünya çapında 350.000’den fazla işletme tarafından kullanıldığını söylüyor. Kola, IKEA, Honda ve Renault.
Güncelleme 15 Aralık, 15:52 EST: 3CX CISO Pierre Jourdan, kullanıcı tabanının yalnızca %0,25’inin “devam entegresine sahip olduğunu” söylüyor. 3CX’e göre ürünleri en az 350.000 şirket tarafından kullanılan bu açıklanmayan güvenlik sorunundan en az 875 müşteri potansiyel olarak etkilenebilir.
Güncelleme 15 Aralık, 18:41 EST: Şirket, bugünkü uyarıya neden olan güvenlik kusuru hakkında henüz ayrıntılı bilgi sağlamamış olsa da, BleepingComputer’a bunun, SQL veritabanlarıyla 3CX CRM Entegrasyonunda bir SQL Enjeksiyon güvenlik açığı olduğu söylendi.
Güvenlik hatası, 11 Ekim’de, güvenlik araştırmacısı ve Bilgisayar Acil Durum Müdahale Ekibi Koordinasyon Merkezi’nin (CERT/CC), şirketin müşteri desteğiyle 11 Ekim’de iletişim kurulmasına rağmen bunu iki aydan fazla bir süre boyunca 3CX’e başarısız bir şekilde bildirmeye çalışmasıyla keşfedildi. İlk gün.
Güvenlik araştırmacısı, 3CX’in Operasyon Direktörünün raporu bugün, 15 Aralık’ta kabul ettiğini söylüyor. Şirket ayrıca bugün müşterileri, bu kusurdan yararlanan SQL enjeksiyon saldırılarını engellemek için SQL/CRM entegrasyonlarını devre dışı bırakmaları konusunda uyardı, ancak kötü niyetli aktörlerin ihtiyaç duyulan bilgileri elde etmesine olanak sağlayacak ayrıntıları sağlamadı. onu vahşi doğada kötüye kullanmaya başlamak için.
Güncelleme 16 Aralık, 04:51 EST: 3CX’in Operasyon Direktörü Ruth Elizabeth Abbott, BleepingComputer ile paylaşılan bir açıklamada araştırmacı tarafından paylaşılan açıklama zaman çizelgesini doğruladı.
16 Aralık 11:49 EST Güncellemesi: 3CX Mart ayı tedarik zinciri saldırısına ilişkin bilgiler revize edildi.
Admin Not : bugun aldigim maile gore eger herhangi bir database integrasyon kullanmiyorsaniz, hersey yolunda.Ama bir integrasyon var ise sirket baglantigi kesmeniz yonunde uyariyor ve yayinlanacak olan yamayi beklemelerini tavsiye ediyor.