CERT-IS vill vekja athygli á eftirfarandi upplýsingum í þessari frétt. Þessar upplýsingar snerta á kerfum Microsoft og 3CX. CERT-IS mælir með að þið kynnið ykkur málið nánar og grípið til viðeigandi aðgerða.
Upplýsingar um kerfin
Azure Active Directory
Ný árasarleið (e. attack vector) í Azure Active Directory (AAD) gerir óprúttnum aðilum kleift að komast inn í forrit ef þau eru rangstillt. Slíkar rangstillingar má finna víða og eru 25% af öllum “multi-tenant” Azure forritum viðkvæm fyrir slíkum árásum [1]. Algengt er að þessi rangstilling sé í forritum sem nota Azure App Services eða Azure Functions og bjóða upp á “multi-tenancy”. Til dæmis var Microsoft með rangstillingu í innihaldsstjórnunarkerfi (CMS) sem stjórnar Bing.com sem gerði rannsóknarteymi kleift að breyta leitarniðurstöðum og einnig framkvæma XSS árásir á Bing notendur. Þessir öryggisgallar voru tilkynntir til Microsoft sem hefur lagað sín kerfi, uppfært leiðbeiningar og betrumbætt AAD virkni til að minnka hættu viðskiptavina. Til að athuga hvort forrit notuð í þínu umhverfi séu viðkvæm og hvernig á að laga þau er vísað til “Customer Remediation Guidelines” á Wiz Research blogginu og Microsoft leiðbeininga [1,2].
3CX Desktop App
Það hefur komið í ljós að nokkrar útgáfur af 3CX í Windows og Mac virðast innihalda illgjarna virkni þar sem appið er að hafa samskipti út á við, við lén sem það ætti ekki að vera að gera sem getur leitt til frekari illgjarna aðgerða. Talið er að þetta tengist líklega forritunarsafni sem er notað í appinu. Fyrirtækið 3CX mælir með að nota PWA appið í staðinn og uppfæra þjóna í útgáfu 18.12.422. Sjá nánar í [3,4,5] þar sem í [5] er hægt að finna illgjörn lén sem hefur verið haft samband við og tætigildi (e. hash value). Í [4] má finna leiðbeiningar frá framleiðanda.
Eftirfarandi kerfi eru veik fyrir göllunum:
Azure Active Directory: Rangstillt forrit sem bjóða uppá “multi-tenancy”
Electron Windows App: Update 7, útgáfur 18.12.407 & 18.12.416
Electron Mac App: 18.11.1213, 18.12.402, 18.12.407 & 18.12.416
Tilvísanir:
[1] https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration
[2] https://msrc.microsoft.com/blog/2023/03/guidance-on-potential-misconfiguration-of-authorization-of-multi-tenant-applications-that-use-azure-ad/
[3] https://www.3cx.com/blog/news/desktopapp-security-alert/
[4] https://www.3cx.com/blog/news/desktopapp-security-alert-updates/
[5] https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/