Tietoturva Nyt!
Tietoturvayhtiöiden havaintojen mukaan maailmalla laajasti käytetyn 3CXDesktopApp-videoneuvotteluohjelman asennuspakettiin on ujutettu haitallista koodia, joka asentuu laitteelle ohjelmiston päivityksen tai asennuksen yhteydessä. Haitalliset ohjelmaversiot ovat Windows 3CX Desktop App 18.12.407 ja 18.12.416 sekä Mac 3CX Desktop App 18.11.1213, 18.12.402, 18.12.407 ja 18.12.416. Haitallisia versiopäivityksiä on ollut saatavilla maaliskuun 2023 aikana.
Haitallinen päivitys tai lataus asentaa asiakasohjelmistoon takaportin, jota hyökkääjä voi käyttää hyväkseen. Takaporttia hyödyntämällä hyökkäääjän on esimerkiksi mahdollista murtautua järjestelmään.
3CXDesktopApp on tarjolla Windows-, macOS-, Linux- ja mobiiliversioina. Tällä hetkellä julkisuudessa olevien tietojen mukaan hyväksikäyttöyritykset ovat kohdistuneet ainakin Windows- ja MacOS-versioihin.
Hyökkäyksen vaikutuksia on vaikea tällä hetkellä arvioida. On suositeltavaa, että organisaatiot selvittävät tarkasti onko hyökkäyksellä voinut olla vaikutuksia omaan tekniseen ympäristöön.
3CX on kertonut, että heiltä on tulossa ongelmaan liittyen uusi päivitys, mutta päivitystä ei ole vielä julkaistu. Tällä hetkellä 3CX suosittelee, että asennus poistetaan siihen asti, kunnes uusi päivitys julkaistaan.
Mitä tarkoittaa toimitusketjuhyökkäys
Toimitusketjuhyökkäyksessä organisaation tietojärjestelmiin murtaudutaan sen käyttämien verkostojen, palveluiden, tuotteiden tai avoimen lähdekoodin projektien kautta. Hyökkäyksessä hyväksikäytetään organisaatioiden luottamusta toimittajiinsa. Hyökkäyksen reittinä voivat olla yhteistyökumppanit, palveluntarjoajat, ohjelmistot tai laitteet. Hyökkääjä tunkeutuu toimittajan järjestelmiin ja saastuttaa toimitusketjussa käytetyn osan omalla haittakoodillaan, jonka jälkeen se leviää normaalia tuotteen jakelukanavaa pitkin yhteistyö- ja asiakasorganisaatioihin.
Toimitusketjuhyökkäyksen tavoitteena on jalansijan saavuttaminen eri organisaatioissa toimitusketjun varrella. Kun jalansija on varmistettu, voidaan sitä käyttää erilaisiin jatkohyökkäyksiin, kuten tietomurtoihin ja kiristyshaittaohjelmahyökkäyksiin.
Toimitusketjuhyökkäyksen havainnointi ja hallinta ovat tärkeitä, koska niillä on suuri merkitys organisaation maineelle ja luottamukselle verkostossa. Toimitusketjuhyökkäyksen uhrina ovat sekä toimittaja että asiakas. Tilanteen hallinta vaatii usein avoimuutta ja yhteistyötä osapuolilta.
Lisätietoja
- Sophos: 3CX users under DLL-sideloading attack: What you need to know (ulkoinen linkki) (Ulkoinen linkki)
- CrowdStrike: CrowdStrike Falcon Platform Detects and Prevents Active Intrusion Campaign Targeting 3CXDesktopApp Customers (ulkoinen linkki) (Ulkoinen linkki)
- 3CX: 3CX DesktopApp Security Alert (ulkoinen linkki) (Ulkoinen linkki)