3CX nam eerste meldingen over malware in software niet serieus genoeg
Leverancier van voip-software 3CX, dat slachtoffer werd van een supplychain-aanval, heeft eerste meldingen over malware in de eigen software niet serieus genomen. Dat laat ceo Nick Galea weten. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben.
3CX biedt onder andere een desktopapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten verschillende versies van de software voor macOS en Windows van malware te voorzien. Deze malware kan aanvullende malware installeren, die informatie steelt en de aanvaller toegang tot het systeem geeft Op 22 maart lieten verschillende gebruikers van de software weten dat hun beveiligingssoftware een waarschuwing voor de 3CX-desktopapplicatie gaf.
Medewerkers van 3CX besloten om de officiële installer dezelfde dag naar VirusTotal te uploaden. Dit is een online virusscandienst van Google waarmee bestanden door tientallen virusscanners zijn te controleren. Geen van de producten, ook niet het product dat bij klanten alarm sloeg, detecteerde malware in de installer. De scan van VirusTotal gebruikt alleen de command line versie van de antivirussoftware en voert alleen een statische analyse uit. De resultaten tussen VirusTotal en de desktopversie die bij gebruikers draait kunnen dan ook verschillen.
"Vanwege de manier waarop voip-apps werken zou het niet de eerste keer zijn [dat een virusscanner alarm slaat]. Het gebeurt regelmatig, dus om eerlijk te zijn, hebben we het niet zo serieus genomen", aldus Galea in een interview met Cyberscoop. Nadat de scan via VirusTotal op 22 maart niets opleverde besloot het bedrijf het daarbij te laten, aldus Galea. Op 29 maart werd 3CX door securitybedrijf CrowdStrike ingelicht dat aanvallers malware aan de installer hadden toegevoegd. "Toen gaven we het veel meer aandacht, wat we achteraf gezien eigenlijk eerder hadden moeten doen. We hadden eerder echter niet door hoe ernstig het was", zo stelt de ceo.
Gisteren kwam 3CX met een update over de situatie, maar die bevat geen echt nieuwe informatie. Gebruikers wordt nog altijd aangeraden de desktopapplicatie te verwijderen en de webapplicatie van de voip-software te gebruiken. Verder wordt organisaties opgeroepen om hun netwerken op de malware te controleren die de aanvallers via het installatieprogramma hebben geïnstalleerd.
De beslissing van 3CX om de waarschuwingen over de malware niet serieus te nemen en de desktopapplicatie niet eerder te onderzoeken is zeer opmerkelijk en illustreert het belang van het serieus nemen van meldingen van klanten en het nemen van onmiddellijke maatregelen om de beveiliging te verbeteren en de mogelijke impact te beperken. Bedrijven moeten zich ervan bewust zijn dat aanvallers elk bedrijf als doelwit kunnen kiezen en moeten daarom de nodige voorzorgsmaatregelen nemen.
Het is nog niet duidelijk wie er achter de aanval zit en wat het doel was, maar het is wel belangrijk om te onthouden dat aanvallers verschillende motieven kunnen hebben, waaronder diefstal van gevoelige informatie of het installeren van ransomware om geld te verdienen.
Wat betreft de gevolgen van deze supply chain-aanval voor 3CX is het mogelijk dat het bedrijf te maken krijgt met financiële claims van klanten en dat het vertrouwen van klanten in het bedrijf afneemt. Ook kunnen andere bedrijven die afhankelijk zijn van 3CX-software zich zorgen gaan maken over hun eigen beveiliging en op zoek gaan naar alternatieven.
Het is daarom van cruciaal belang dat bedrijven niet alleen maatregelen nemen om zichzelf te beschermen tegen aanvallen, maar ook dat ze regelmatig hun beveiligingsmaatregelen beoordelen en updaten om bij te blijven bij de nieuwste bedreigingen.
https://www.virustotal.com/gui/file/aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973
https://www.virustotal.com/gui/file/a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67
Heeft geen enkele toegevoegde waarde nu, koffie dik kijken.
Omdat de software nu al malicious is zijn de AV definities ook bijgewerkt. Dit stond er 2 weken geleden nog niet zo bij.
Het is gewoon heel kwalijk, dat een leverancier de grote van 3CX dit soort incidenten niet intern goed heeft ingekaderd waardoor er sneller aan de juiste bellen wordt getrokken.
Pijnlijk leermoment voor ze. Als ze nog bestaansrecht hebben, want ook in de VOIP markt heb ik keuze zat en zou ik nu niet meer kiezen voor 3CX ook niet aanraden aan collega's.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.