VoIP iletişim şirketi 3CX, potansiyel bir güvenlik açığı olarak tanımladığı durumun yarattığı riskler nedeniyle bugün müşterilerini SQL Veritabanı entegrasyonlarını devre dışı bırakmaları konusunda uyardı.
Bugün yayınlanan güvenlik danışma belgesinde konuya ilişkin herhangi bir spesifik bilgi bulunmasa da müşterilere MongoDB, MsSQL, MySQL ve PostgreSQL veritabanı entegrasyonlarını devre dışı bırakarak önleyici tedbirler almaları tavsiye ediliyor.
3CX’in bilgi güvenliği şefi Pierre Jourdan, “Eğer bir SQL Veritabanı entegrasyonu kullanıyorsanız, konfigürasyona bağlı olarak potansiyel olarak bir güvenlik açığına tabidir” dedi.
“Bir önlem olarak ve biz bir düzeltme üzerinde çalışırken lütfen aşağıdaki talimatları izleyerek onu devre dışı bırakın.”
Jourdan, güvenlik sorununun 3CX’in İnternet Üzerinden Ses Protokolü (VOIP) yazılımının yalnızca 18 ve 20 sürümlerini etkilediğini açıkladı. Ayrıca web tabanlı CRM entegrasyonlarının tümü etkilenmez.
Şirketin topluluk web sitesinde bugün erken saatlerde bir gönderi paylaşıldı ancak gönderi şu anda kilitli ve daha fazla yanıta izin verilmiyor. Gönderide güvenlik tavsiyesine bir bağlantı yer alıyor ancak ek bilgi sağlanmıyor.
Mart 2023 tedarik zinciri saldırısı
Mart ayında 3CX, 3CXDesktopApp Electron tabanlı masaüstü istemcisinin kötü amaçlı yazılım dağıtmak amacıyla bir tedarik zinciri saldırısında truva atına bulandığını açıkladı.
Şirketin, yazılımın CrowdStrike, SentinelOne, ESET, Palo Alto Networks ve SonicWall gibi çeşitli siber güvenlik şirketleri tarafından kötü amaçlı olarak etiketlendiğini söyleyen bir dizi müşteri raporuna yanıt vermesi bir haftadan fazla sürdü.
Daha sonra siber güvenlik firması Mandiant tarafından keşfedildiği üzere, 3CX saldırısı, Trading Technologies hisse senedi alım satım otomasyon şirketini etkileyen başka bir tedarik zinciri saldırısından kaynaklandı.
3CX, Telefon Sisteminin günlük 12 milyondan fazla kullanıcıya sahip olduğunu ve Air France, Birleşik Krallık Ulusal Sağlık Hizmeti, PepsiCo, American Express, Coca-Cola, IKEA gibi yüksek profilli kuruluşlar ve şirketler de dahil olmak üzere dünya çapında 350.000’den fazla işletme tarafından kullanıldığını söylüyor. ve birden fazla otomobil üreticisi.
3CX, BleepingComputer bugün erken saatlerde iletişime geçtiğinde yorum talebine yanıt vermedi.