3CX 提醒客户禁用 SQL 数据库集成功能
2023-12-18 17:19:18 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

VoIP 通信公司 3CX 提醒客户称,因为一个潜在漏洞导致运营风险,因此应禁用 SQL 数据库集成功能。

尽管今天发布的这份安全公告并未提及任何详情,但建议客户采取预防措施,禁用 MongoDB、MsSQL、MySQL 和 PostpreSQL 数据库集成功能。

3CX 公司的首席信息安全官 Pierre Jourdan 表示,“如果在使用易受漏洞(具体取决于配置情况)利用攻击的 SQL Database 集成功能,作为预防措施,虽然我们在着手准备修复方案,但请按照如下指南禁用它。”

Jordan 解释称,该安全漏洞仅影响 3CX VOIP 软件版本18和20。另外,并非所有基于 web 的 CRM 集成均受影响。该公司的社区网站发布文章分享了和该安全公告相关的链接,但并未提供更多详情。

在本文发布时,论坛帖子和公告均为锁定状态,评论功能被禁用。

3CX 公司回应

3CX 公司的首席信息安全官 Pierre Jourdan 表示,仅有0.25%的用户“集成SQL”。其产品至少用于35万家企业,也就是说至少有875家企业受影响。

虽然该公司尚未提供更多关于该漏洞的详情,但该公司表示,它是位于 3CX CRM Integration with SQL 数据库中的一个SQL 注入漏洞。

该漏洞在10月11日发现,不过安全研究员和 CERT/CC 与 3CX 公司联系两个月未果,尽管在第一天就已经与该公司的客户支持获得联系。

发现该漏洞的研究员表示,3CX 的运营总监在12月15日证实了该漏洞报告,并提醒客户禁用 SQL/CRM 集成功能以拦截SQL注入攻击,但并未透露更多详情。

2023年3月的供应链攻击

3月份,3CX 公司披露称其 3CXDesktopApp Electron 桌面客户端遭供应链攻击导致的木马化,疑似朝鲜黑客组织 UNC4736 分发恶意软件。

该公司花费一周时间应对客户报告称该软件被多家网络安全公司标记为恶意性质,如 CrowdStrike、SentinelOne、ESET、Palo Alto Networks 和 SonicWall 等,之后才披露供应链攻击事件。

Mandiant 公司之后披露称 3CX 攻击事件因 Trading Technologies 股票交易自动化公司遭受的另外一起供应链攻击导致。

3CX 公司表示其 Phone System 的日常用户的超过1200万,遍布全球超过35万个企业,其中不乏行业大型企业如宝马、可口可乐、宜家等。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

链中链?造成3CX 软件供应链事件的是另外一起供应链事件?

Windows漏洞十年未修复,3CX供应链攻击影响全球60多万家企业

黑客利用 3CX 木马版桌面 app 发动供应链攻击

原文链接

https://www.bleepingcomputer.com/news/security/3cx-warns-customers-to-disable-sql-database-integrations/

题图:Pexels License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247518402&idx=1&sn=da9d1a39d4b697106a57a34d89cff0d1&chksm=ea94b9a8dde330be50e062f6d96b932dc3f586d2c94a6af6ff7ebd6da5c5ff1ccc7b6e7aeda1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh