La société de communications VoIP 3CX a averti aujourd’hui ses clients de désactiver les intégrations de bases de données SQL en raison des risques potentiels associés à ce qu’elle décrit comme une vulnérabilité potentielle.
Bien que l’avis de sécurité publié aujourd’hui ne contienne aucune information spécifique concernant le problème, il conseille aux clients de prendre des mesures préventives en désactivant leurs intégrations de bases de données MongoDB, MsSQL, MySQL et PostgreSQL.
« Si vous utilisez une intégration de base de données SQL, elle est potentiellement sujette à une vulnérabilité – en fonction de la configuration », a déclaré Pierre Jourdan, directeur de la sécurité de l’information de 3CX.
« Par mesure de précaution, et pendant que nous travaillons sur un correctif, veuillez suivre les instructions ci-dessous pour le désactiver. »
Jourdan a expliqué que le problème de sécurité ne concerne que les versions 18 et 20 du logiciel de voix sur IP (VOIP) de 3CX. De plus, toutes les intégrations CRM basées sur le Web ne sont pas affectées.
Un message sur le site Web communautaire de l’entreprise a été partagé plus tôt aujourd’hui avec un lien vers l’avis de sécurité, mais aucune information supplémentaire.
La publication sur le forum et l’avis étaient verrouillés lorsque cet article a été publié et les commentaires n’étaient pas autorisés.
Attaque de la chaîne d’approvisionnement en mars 2023
En mars, 3CX a révélé que son client de bureau électronique 3CXDesktopApp avait été piraté lors d’une attaque de la chaîne d’approvisionnement par le groupe de piratage nord-coréen UNC4736 pour distribuer des logiciels malveillants.
La divulgation a été retardée par le fait que la société a mis plus d’une semaine à réagir à un flux de rapports de clients indiquant que le logiciel avait été étiqueté comme malveillant par plusieurs sociétés de cybersécurité, notamment CrowdStrike, SentinelOne, ESET, Palo Alto Networks et SonicWall.
Cette réponse tardive a permis aux attaquants de pirater plusieurs clients de 3CX, y compris des sociétés de crypto-monnaie et des organisations d’infrastructures critiques.
Comme l’a découvert plus tard la société de cybersécurité Mandiant, le piratage de 3CX résultait d’une autre attaque de la chaîne d’approvisionnement qui a eu un impact sur la société d’automatisation des transactions boursières Trading Technologies.
3CX affirme que son système téléphonique compte plus de 12 millions d’utilisateurs quotidiens et est utilisé par plus de 350 000 entreprises dans le monde, y compris des organisations et des entreprises de premier plan telles qu’Air France, le National Health Service du Royaume-Uni, BMW, Toyota, PepsiCo, American Express, Coca-Cola, IKEA, Honda et Renault.
…………………………………………………………………………………………………………………………………………………………………………………..
Mise à jour du 15 décembre, 15h52 EST: 3CX Le RSSI Pierre Jourdan affirme que seulement 0,25% de la base d’utilisateurs » ont intégré sequel. »Avec ses produits utilisés par au moins 350 000 entreprises, selon 3CX, au moins 875 clients pourraient potentiellement être touchés par ce problème de sécurité non divulgué.
Mise à jour du 15 décembre à 18h41 EST: Bien que la société n’ait pas encore fourni d’informations sur la faille de sécurité à l’origine de l’avertissement d’aujourd’hui, Breachtrace a été informé qu’il s’agissait d’une vulnérabilité d’injection SQL dans l’intégration de 3CX CRM avec les bases de données SQL.
Le bogue de sécurité aurait été découvert le 11 octobre, le chercheur en sécurité affirmant qu’eux et le Centre de Coordination de l’Équipe d’intervention d’urgence Informatique (CERT/CC) ont tenté de le signaler à 3CX sans succès pendant plus de deux mois, même si le contact a été établi avec le support client de l’entreprise le premier jour.
Le chercheur en sécurité a déclaré que le directeur des opérations de 3CX avait reconnu le rapport aujourd’hui, le 15 décembre. La société a également averti ses clients aujourd’hui de désactiver les intégrations SQL/CRM pour bloquer les attaques par injection SQL exploitant cette faille, mais sans fournir de détails qui permettraient aux acteurs malveillants d’obtenir les informations nécessaires pour commencer à en abuser dans la nature.