3CX alerta clientes para desabilitar integrações de banco de dados SQL
18 de Dezembro de 2023

A empresa de comunicações VoIP 3CX alertou seus clientes hoje para desativar as integrações de banco de dados SQL devido a riscos potenciais associados ao que descreve como uma vulnerabilidade potencial.

Embora o aviso de segurança lançado hoje não contenha nenhuma informação específica sobre o problema, aconselha os clientes a tomarem medidas preventivas, desativando suas integrações de banco de dados MongoDB, MsSQL, MySQL e PostgreSQL.

"Se você estiver usando uma integração de banco de dados SQL, ela pode estar sujeita a uma vulnerabilidade - dependendo da configuração", disse Pierre Jourdan, diretor de segurança da informação da 3CX.

"Como medida de precaução e enquanto trabalhamos em uma correção, siga as instruções abaixo para desativá-lo."

Jourdan explicou que o problema de segurança afeta apenas as versões 18 e 20 do software VOIP da 3CX.

Além disso, nem todas as integrações de CRM baseadas na web são afetadas.

Um post no site da comunidade da empresa foi compartilhado mais cedo hoje com um link para o aviso de segurança, mas sem informações adicionais.

O post do fórum e o conselho foram bloqueados quando este artigo foi publicado e comentários não foram permitidos.

Em março, a 3CX divulgou que seu cliente de desktop 3CXDesktopApp baseado em Electron foi sabotado em um ataque à cadeia de suprimentos pelo grupo de hackers norte-coreano UNC4736 para distribuir malware.

A divulgação foi atrasada pela empresa levando mais de uma semana para reagir a uma série de relatórios de clientes dizendo que o software havia sido marcado como malicioso por várias empresas de segurança cibernética, incluindo CrowdStrike, SentinelOne, ESET, Palo Alto Networks e SonicWall.

Essa resposta atrasada permitiu que os atacantes hackeassem vários clientes da 3CX, incluindo empresas de criptomoedas e organizações de infraestrutura crítica.

Como descoberto mais tarde pela empresa de segurança cibernética Mandiant, o hack da 3CX resultou de outro ataque à cadeia de suprimentos que impactou a empresa de automação de negociação de ações Trading Technologies.

A 3CX afirma que seu Phone System tem mais de 12 milhões de usuários diários e é usado por mais de 350.000 empresas em todo o mundo, incluindo organizações e empresas de alto perfil como Air France, o Serviço Nacional de Saúde do Reino Unido, BMW, Toyota, PepsiCo, American Express, Coca-Cola, IKEA, Honda e Renault.

Atualização de 15 de dezembro, 15:52 EST: O CISO da 3CX, Pierre Jourdan, diz que apenas 0,25% da base de usuários "tem uma sequência integrada".

Com seus produtos usados ​​por pelo menos 350.000 empresas, como por 3CX, um mínimo de 875 clientes poderiam ser potencialmente impactados por esse problema de segurança não divulgado.

Atualização 15 de dezembro, 18:41 EST: Embora a empresa ainda não tenha fornecido informações sobre a falha de segurança que provocou o alerta de hoje, o BleepingComputer foi informado de que se trata de uma vulnerabilidade de injeção SQL na Integração 3CX CRM com bancos de dados SQL.

O suposto bug de segurança foi descoberto em 11 de outubro, com o pesquisador de segurança afirmando que ele e o Computer Emergency Response Team Coordination Center (CERT/CC) tentaram relatá-lo à 3CX sem sucesso por mais de dois meses, mesmo que o contato tenha sido estabelecido com suporte ao cliente da empresa no primeiro dia.

O pesquisador de segurança diz que o Diretor de Operações da 3CX reconheceu o relatório hoje, 15 de dezembro.

A empresa também alertou os clientes hoje para desativar as integrações SQL/CRM para bloquear ataques de injeção SQL explorando essa falha, mas sem fornecer detalhes que permitiriam a atores mal-intencionados obter as informações necessárias para começar a abusar dela em campo.

Atualização 16 de dezembro, 04:51 EST: Ruth Elizabeth Abbott, diretora de operações da 3CX, confirmou o cronograma de divulgação compartilhado pelo pesquisador em uma declaração compartilhada com o BleepingComputer.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...