La célèbre entreprise de logiciels de communication 3CX a admis avoir été victime d'une attaque de la chaîne d'approvisionnement, qui pourrait également affecter ses clients. Les attaquants ayant créé un cheval de Troie sur la version légale de l'application, la suppression de l'application 3CX Desktop App reste pour l'instant le seul moyen de remédier à la situation. L'impact exact de cet incident sur d'autres entreprises n'est pas encore clair, mais des enquêtes sont en cours.
L'attaque de la chaîne d'approvisionnement de 3CX affecte de nombreuses entreprises
Récemment, 3CX a révélé une grave cyberattaque qui met en péril la sécurité de ses clients. 3CX a admis la présence d'un logiciel malveillant dans son logiciel, à la suite d'une attaque de la chaîne d'approvisionnement, et a invité ses clients à désinstaller l'application jusqu'à ce que le problème soit résolu.
3CX est un fournisseur d'autocommutateur privé (PBX) très populaire, qui dessert une vaste clientèle dans le monde entier. Sa prise en charge des systèmes Windows et Linux permet à diverses entreprises d'intégrer 3CX dans leurs systèmes de gestion de la relation client.
Une alerte communautaire du PDG de l'entreprise, Nick Galea, sur les forums 3CX a révélé que les acteurs de la menace avaient potentiellement infecté l'application de bureau 3CX avec un logiciel malveillant, affectant le client Electron de Windows. Après enquête, l'entreprise a conseillé à ses clients d'utiliser le client Progressive Web App (PWA), qui reste immunisé contre cette attaque.
Une plongée en profondeur dans ce qui s'est passé
Alors qu'il semblait initialement s'agir d'une révélation abrupte suite à une attaque soudaine, SentinelOne a expliqué qu'elle avait pu détecter la menace dès le début. Selon leur message, ils ont décidé d'enquêter sur la question après que l'application SentinelOne a commencé à bloquer les menaces malveillantes avec l'application de bureau 3CX. Certains utilisateurs ont même fait part de leurs plaintes sur les forums de 3CX à la suite de ces alertes. Pourtant, les responsables de 3CX n'ont pas reconnu le problème.
Au fur et à mesure que l'incident prenait de l'ampleur et que les investigations progressaient, il s'est avéré que les acteurs de la menace avaient potentiellement exploité une vulnérabilité Windows déjà connue pour infecter l'application 3CX. L'analyse de l'affaire a révélé la présence d'une DLL malveillante dans l'application, qui téléchargeait d'autres logiciels malveillants, tels que des voleurs d'informations, sur l'appareil cible.
Sophos, dans son propre billet, a également expliqué l'incident, faisant allusion à l'abus potentiel de ffmpeg.dll pour l'attaque DLL sideloading, Les chercheurs attribuent également l'attaque au Lazarus Group. CrowdStrike, dans sa propre analyse, mentionne LABYRINTH CHOLLIMA comme l'acteur de la menace à l'origine de l'attaque.
Ironiquement, cette vulnérabilité de Windows, malgré de nombreux exploits et un correctif disponible depuis une décennie, menace toujours de nombreux systèmes. En effet, comme l'explique Bleeping Computer, le correctif de ce bogue n'est disponible qu'en tant que fonction “opt-in”, nécessitant une configuration manuelle. Ainsi, la probabilité d'une immunité générale contre cette vulnérabilité reste très faible.
Et maintenant ?
Pour l'instant, Galea conseille aux utilisateurs de 3CX d'abandonner l'application de bureau pour le client PWA jusqu'à ce que le problème soit résolu. En attendant, 3CX a engagé Mandiant pour enquêter sur cette affaire.
Faites-nous part de vos impressions dans les commentaires.
