3CX, milyonlarca kullanıcıyı hedef alan SmoothOperator tedarik zinciri saldırısına yanıt olarak bir yazılım güncellemesi yayınlamak için acilen çalışıyor. Etkilenen 3CX Masaüstü Uygulaması, American Express, BMW, Honda, Ikea, Pepsi ve Toyota dahil olmak üzere dünya çapında 600.000’den fazla müşterisi ve 12 milyon kullanıcısı ile sesli ve görüntülü konferans için popülerdir.
Saldırı, DLL yandan yükleme tekniğini kullanır ve telemetri verileri, saldırıların PBX telefon sisteminin Windows Electron (sürüm 18.12.407 ve 18.12.416) ve macOS sürümleriyle sınırlı olduğunu ortaya çıkarır. Kötü amaçlı dosyaları barındıran GitHub deposu kaldırıldı.
Son yük, Google Chrome, Microsoft Edge, Brave ve Mozilla Firefox gibi popüler tarayıcılardan hassas verileri çalabilir. CrowdStrike, saldırıyı Lazarus Group içindeki bir alt küme olan Labyrinth Chollima olarak bilinen Kuzey Koreli bir ulus devlet aktörüne bağladı.
Geçici bir çözüm olarak 3CX, müşterilerini etkilenen uygulamayı kaldırıp yeniden yüklemeye veya şirket yeni bir yapı üzerinde çalışırken PWA istemcisini kullanmaya çağırdı. Android ve iOS sürümleri etkilenmeden kalır. Yeni bilgiler ortaya çıktıkça durumla ilgili daha fazla güncelleme sağlanacaktır.
Uzman Yorumları
Tyler Farrar, CISO,
“İster acemi ister Lazarus Grubu gibi ulus-devlet aktörlerinin işi olsun, herhangi bir düşman, nihai hedeflerine ulaşmak için en az direniş yolunu seçecektir. Tedarik zincirindeki zayıflıklar, bunu yapmanın en basit ama en başarılı yollarından biridir. 3CX söz konusu olduğunda, tehdit aktörleri muhtemelen şirketin kendisinin değil, 12 milyon küresel müşterisinden gelen verilerin peşindeydi. Düşmanlar, müşterilerin her birine ayrı ayrı saldırmak yerine, 3CX’i aşmanın daha kolay olacağını düşündüler ve haklı da çıktılar.
Ne yazık ki, bu tür saldırılar giderek daha yaygın hale gelecek ve yazılım tedarik zinciri saldırılarının 2023’ün 1 numaralı tehdit vektörü olacağını tahmin ediyorum. Sonuç olarak, kuruluşları üçüncü tarafları incelemek için kapsamlı bir satıcı risk yönetimi planı oluşturmaya teşvik ediyorum. ve uyanık kalmak için hesap verebilirlik gerektirir ve üçüncü taraflar tehlikeye girdiğinde potansiyel olarak yıkıcı sonuçları durdurur.
Anand Reservatti, CTO ve kurucu ortak,
“3CX VOIP’in yazılım tedarik zinciri saldırısını ‘Trojanlaştırması’, şirketlerin neden ‘yazılımlarında ne olduğunu’ bilmesi gerektiğinin en son kanıtıdır.
Şirketler hâlâ SolarWinds’in olumsuz etkilerinden muzdarip ve şimdi başka bir yazılım tedarik zinciri saldırısı devam ediyor ve milyonlarca yazılım üreticisini ve tüketicisini riske atıyor. 3CX CEO’su bugün uygulamayı sordu, ancak bildirimi kaçırmış olabilecekler veya yazılım malzeme listelerinde (SBOM) ne olduğunu bilmeyenler markalarını ve işlerini mahvetme riskiyle karşı karşıya.
Tüm yazılımların eşit yaratılmadığını anlamak çok önemlidir. 3CX saldırısı, bir yukarı akış kitaplığı nedeniyle Electron Windows Uygulamasının güvenliği ihlal edildiğinde ortaya çıktı. 3CX’in yazılım tedarik zincirlerini doğru bir şekilde keşfetmek ve yönetmek için herhangi bir araç kullanmadığı açıktır. Bu nedenle, yazılım tedarik zincirini korumak için “sola kaydırma zihniyetinin soluna” geçmelisiniz. Yazılımın kendisi kötü amaçlı olduğundan ve doğrudan kötü amaçlı yazılım olmadığından, güvenlik açığı ve kötü amaçlı yazılım taramaları da yetersiz kalıyor.
Bu tür bir saldırı, güvenlik açığı ve kötü amaçlı yazılım taramaları veya CI/CD’nin tespit edilmesi gibi teknolojiler için özellikle zordur. Aşağıdakileri yapabilen bir çözüme ihtiyacınız var:
1) Yazılım bileşenlerini keşfedin ve tüm geçişli bağımlılıklar dahil tüm şecereyi oluşturun
2) Tedarik zinciri boyunca, herhangi bir harici araca ve bunların iddialarına güvenmeden bütünlük oluşturun
3) Yazılımın her bir bileşenini inceleyerek içsel riski değerlendirin
4) Şecere dayalı en kritik bileşenleri ele almak için doğal riskleri stratejik olarak iyileştirin
Yazılımınızda ne olduğunu bilmek, yalnızca yazılım tedarik zincirinizde ne olduğunu bilmekle gelir. Bu nedenle, oluşturulan ve satın alınan tüm yazılımların yazılım tedarik zincirinizin bütünlüğünü kanıtlayabilecek çözümlerle çalışmak çok önemlidir. Bir ulus-devlet bilgisayar korsanlığı grubuyla olası bağlantılar da dahil olmak üzere daha fazla ayrıntının ortaya çıkmasıyla birlikte, yazılım üreticilerinin ve tüketicilerin, yıkıcı sonuçları önlemek için yazılımlarında tam olarak ne olduğunu kanıtlayabilmeleri çok önemlidir.”
Kayla Underkoffler, Baş Güvenlik Teknoloji Uzmanı, HackerOne
“Siber güvenlik uzmanları, savunucu olarak zaten çetin bir savaşla karşı karşıya; Yanıt verenlerin yaklaşık üçte birinin saldırı yüzeylerinin %75’inden daha azını izlediğini ve neredeyse %20’sinin saldırı yüzeylerinin yarısından fazlasının bilinmediğini veya gözlemlenemez olduğunu düşündüğünü bulduk. Saldırganlar tedarik zinciri güvenlik açıklarını hedef alarak savaşı daha ayrıntılı bir düzeye taşırken, saldırı yüzey izleme bileşiklerinin karmaşıklığı.
Ve ne yazık ki, tam olarak gördüğümüz şey bu. Siber suçlular bir kuruluşun ağının en hassas alanlarına erişmenin potansiyel etkisini anladıkları için, kötü niyetli aktörler artık kendilerini kurumsal teknoloji yığınına daha derinden yerleştirmeye çalışıyor. Bu, yazılım tedarik zincirindeki kritik bağımlılıklar veya ortamın görünüşte denetlenmemiş bir köşesi aracılığıyla yapılabilir.
Bu nedenle kuruluşların, ortamlarında ne olduğunu ve bu yazılımın kritik iş süreçleriyle nasıl etkileşime girdiğini anlaması çok önemlidir. Geliştirme yaşam döngüsünde bileşenleri ve bağımlılıkları bir kez belgelemek ve bitirmek artık yeterli değil. Günümüzde kuruluşlar, saldırıları önlemek için proaktif olarak yeni çözümler düşünmelidir.
Yazılımın aktif olarak izlenmesi için bugün kullanılan araçlara bir örnek, IBM’in yakın zamanda geliştirdiği SBOM Utility ve License Scanner’ı içerir: kuruluşlar için SBOM ilkelerini kolaylaştıran ve standartlaştıran iki açık kaynaklı araç. Bunlar, bir kuruluşun mevcut ortamında kullanımda olanların canlı, nefes alan bir envanterini oluşturmaya yardımcı olur, böylece kuruluşlar yazılım tedarik zinciri kesintilerine hızla yanıt verebilir. Etik bilgisayar korsanlarının ayrıca, bir kuruluşun yazılım tedarik zincirini etkileyebilecek keşfedilmemiş varlıkların yanı sıra açık kaynak ve yazılım tedarik zinciri güvenlik açıklarını belirleme konusunda yetenekli, yaratıcı kaynaklar oldukları kanıtlanmıştır.”