3CX a signalé un grave problème de sécurité avec son service VoIP pour Windows et Mac. L’entreprise travaille sur une toute nouvelle application et recommande d’utiliser la version web en attendant.
Dans une notification sur son site web, 3CX explique que le problème concerne la mise à jour 7 de l’application Windows Electron, qui comprend les versions 18.12.407 & 18.12.416. Les utilisateurs de Mac doivent également rester prudents, car les versions 18.12.407 et 18.12.416 d’Electron Mac sont également concernées. 3CX fournit des services de voix sur IP (VoIP) aux entreprises et compte parmi ses clients de grands noms comme Coca-Cola, McDonald’s et Ikea.
3CX est toujours en train d’enquêter sur les causes exactes de cette situation, mais le problème de sécurité serait dû à des bibliothèques Git compilées. La plupart des domaines compromis ont été signalés et mis hors ligne par l’entreprise. Les clients contaminés auraient également été bloqués par les logiciels antivirus dans la plupart des cas, rassure quelque peu le RSSI Pierre Jourdan.
Attaque de la chaîne d’approvisionnement
Pourtant, 3CX craint que cette fuite ne soit que le début d’une attaque de la chaîne d’approvisionnement (« Supply chain attack »). Les sociétés de sécurité SentinelOne, Sophos et Check Point Research arrivent également à cette conclusion. L’intention des attaquants est de distribuer des fichiers dll infectés aux utilisateurs du service voip. Ainsi, ils peuvent injecter des logiciels malveillants dans un système afin de voler des informations sur le système et le navigateur de la victime.
Sophos explique le modus operandi dans une réponse à notre rédaction. « Les attaquants ont réussi à manipuler l’application pour y ajouter un programme d’installation qui utilise le parachargement DLL pour récupérer une charge utile malveillante et chiffrée. Les tactiques et les techniques ne sont pas nouvelles, elles sont similaires aux activités de parachargement DLL que nous avons déjà vues. »
Depuis le célèbre incident SolarWinds, on sait que les attaques contre la chaîne d’approvisionnement peuvent faire de gros dégâts dans le monde informatique. « C’est une attaque classique de la chaîne d’approvisionnement qui vise à exploiter les relations de confiance entre une organisation et des parties externes. Cela inclut les partenariats avec les fournisseurs ou l’utilisation de logiciels tiers dont la plupart des entreprises dépendent d’une manière ou d’une autre. Cet incident nous rappelle à quel point il faut examiner attentivement les partenaires avec lesquels nous faisons des affaires », a déclaré Lotem Finkelstein de Check Point Research.
Nouvelle appli Windows
3CX soupçonne donc que l’attaque est dirigée par des acteurs « sophistiqués » et n’exclut pas la possibilité d’une attaque de l’État. On travaille actuellement à la création d’un tout nouveau client Windows, mais il faudra encore au moins 24 heures pour le terminer. En attendant, les utilisateurs peuvent toujours accéder à l’application web qui, selon l’entreprise, est toujours sûre.