Bir VoIP iletişim firması olan 3CX, potansiyel bir güvenlik açığının oluşturduğu riskler nedeniyle müşterilere SQL Veritabanı entegrasyonlarını devre dışı bırakmalarını tavsiye etti.
3CX CRM Entegrasyonunda bir SQL Enjeksiyon güvenlik açığı CVE-2023-49954 olarak tanımlandı.
Bir saldırgan, yaygın ancak zararlı bir web güvenlik kusuru olan SQL Injection nedeniyle bir uygulamanın veritabanı sorgularını manipüle edebilir.
Bu, saldırganların hassas verilere erişmesine ve aşırı durumlarda veritabanının tam kontrolünü ele geçirmesine neden olabilir.
Güvenlik açığı, 3CX’in MsSQL, PostgreSQL, MongoDB ve MySQL dahil olmak üzere farklı veritabanlarına bağlanmak için sunduğu CRM entegrasyon şablonlarını hedef alıyor.
“Entegrasyon şablonlarından biri kullanılmışsa (MsSQL, MySQL, PostgreSQL), 3CX sunucusu internette mevcutsa ve 3CX makinesinin önünde herhangi bir Web uygulaması güvenlik duvarı bulunmuyorsa SQL enjeksiyon saldırılarına maruz kalabilirler. Bu durumda, bir veritabanına karşı yürütülen orijinal SQL sorgusunu değiştirmek mümkündür”, 3CX CEO’su Nick Galea’ya göre.
“MongoDB’yi veya web tabanlı CRM entegrasyon şablonlarımızdan herhangi birini kullanan müşteriler bundan etkilenmez.”
SQL Veritabanı Entegrasyonlarınızı devre dışı bırakın
3CX’in bilgi güvenliği şefi Pierre Jourdan bugün şunları söyledi: “SQL Veritabanı entegrasyonunu kullanıyorsanız, yapılandırmaya bağlı olarak potansiyel olarak güvenlik açığına maruz kalır.”
“Bir önlem olarak ve bu entegrasyonu güvenli bir şekilde yeniden etkinleştirmek için bir çözüm üzerinde çalışırken.”
Aşağıdaki veritabanı entegrasyonlarını geçici olarak devre dışı bırakın:
- Veritabanı MongoDB
- Veritabanı MSSQL
- Veritabanı MySQL’i
- Veritabanı PostgreSQL
Web tabanlı CRM entegrasyonlarının herhangi bir etkisi yoktur.
Hangi 3CX Versiyonları etkilendi?
Sürüm 18’i çalıştırıyorsanız yukarıda belirtilen entegrasyonlardan birini kullanıp kullanmadığınızı doğrulayın.
Bu, Yönetim Konsolu / Ayarlar / CRM aracılığıyla gerçekleştirilebilir. “Yok” olarak ayarlayın ve kaydedin.
Sürüm 20’yi çalıştırıyorsanız yukarıda belirtilen entegrasyonlardan herhangi birini kullanıp kullanmadığınızı doğrulayın.
Bunu Webclient / Admin Console / Entegrasyonlar / CRM’den gerçekleştirebilirsiniz. “Yok” seçili olarak kaydedin.
Raporda ayrıca kullanıcı popülasyonunun yalnızca %0,25’inin entegre devam oyununa sahip olduğu belirtildi. Bu, şirket içi güvenlik duvarı ile korunan bir ağ için tasarlanmış eski bir entegrasyondur.
Ancak yapılandırmaya bağlı olarak SQL Veritabanı entegrasyonu kullanmak sizi bir güvenlik açığına maruz bırakabilir. Bilgisayar korsanlığı saldırılarını önlemek için müşterilerden SQL veritabanı entegrasyonlarını devre dışı bırakmaları isteniyor.