PIXEL FACEBOOK
logo-blanco

El ataque a la cadena de suministro del gigante de los sistemas telefónicos 3CX crea un efecto dominó

Lo que vas a encontrar...

La popular empresa de software de comunicaciones 3CX admitió haber sufrido un ataque a la cadena de suministro, que podría afectar también a sus clientes. Dado que los atacantes troyanizaron la versión legítima de la aplicación, eliminar la aplicación de escritorio 3CX sigue siendo la única solución que funciona en este momento. El impacto exacto de este incidente en otros negocios actualmente no está claro; sin embargo, las investigaciones están en curso.

El ataque a la cadena de suministro 3CX afecta a muchas empresas

Recientemente, 3CX reveló un grave ataque cibernético que pone en riesgo la seguridad de sus clientes. 3CX admitió la presencia de malware en su software, luego de un ataque a la cadena de suministro, e instó a los clientes a simplemente desinstalar la aplicación hasta que se resuelva el problema.

3CX es un proveedor de PBX popular que atiende a una gran base de clientes en todo el mundo. Su soporte para sistemas Windows y Linux permite que varias empresas integren 3CX en sus CRM.

Una alerta de la comunidad del CEO de la compañía, Nick Galea, en los foros de 3CX reveló que los actores de amenazas potencialmente han infectado la aplicación de escritorio de 3CX con malware, afectando al cliente de Windows Electron. Mientras la empresa investigaba el problema, aconsejó a los clientes que utilizaran en su lugar el cliente Progressive Web App (PWA), que permaneció inmune a este ataque.

Sumérgete en lo que pasó

Si bien inicialmente parecía una revelación abrupta después de un ataque repentino, SentinelOne aclaró que podían detectar la amenaza incluso temprano. Según su publicación, decidieron investigar el problema después de que la aplicación SentinelOne comenzara a bloquear amenazas maliciosas con la aplicación de escritorio 3CX. Algunos usuarios incluso han compartido sus quejas en los foros de 3CX luego de estas alertas. Sin embargo, los funcionarios de 3CX no reconocieron el caso.

A medida que el incidente ganó fuerza y ​​las investigaciones progresaron, se hizo evidente que los actores de la amenaza estaban potencialmente explotando una vulnerabilidad de Windows previamente conocida para infectar la aplicación 3CX. El análisis del caso reveló la presencia de una DLL maliciosa en la aplicación, que descargó otro software malicioso, como ladrones de información, en el dispositivo de destino.

Sophos, en su propio artículo, también explicó el incidente, aludiendo al posible abuso de ffmpeg.dll para el ataque de carga lateral de DLL. Los investigadores también atribuyen el ataque al grupo Lazarus. Mientras que CrowdStrike, en su propio análisis, mencionó a LABYRINTH CHOLLIMA como el actor de amenazas detrás del ataque.

Irónicamente, dicha vulnerabilidad de Windows, a pesar de numerosas vulnerabilidades y un parche funcional disponible durante una década, todavía amenaza a muchos sistemas. De hecho, como explicó Bleeping Computer, la corrección de este error sigue estando disponible solo como una función de «opt-in», que requiere configuración manual. Por lo tanto, la probabilidad de inmunidad generalizada a esta explotación de vulnerabilidad sigue siendo muy baja.

Y luego ?

Por ahora, Galea aconseja a los usuarios de 3CX que abandonen la aplicación de escritorio para el cliente PWA hasta que se resuelva el problema. Mientras tanto, 3CX ha contratado a Mandiant para investigar el asunto.

Háganos saber sus pensamientos en los comentarios.

Fuente

Facebook
Twitter
LinkedIn
WhatsApp

Deja una respuesta

Artículos Relacionados

Síguenos