600.000’den fazla müşterisi ve günlük 12 milyon kullanıcısı olan VoIP/PBX yazılım sağlayıcısı 3CX’in destek ekibi, masaüstü uygulamasının kötü amaçlı yazılım olarak işaretlendiğinin farkındaydı, ancak açık olduğunu öğrendiğinde bir hafta boyunca herhangi bir işlem yapmamaya karar verdi. Şirketin topluluk forumundaki bir ileti dizisi, büyük bir tedarik zinciri saldırısının sonunu aldığını gösteriyor.
“Diğer A/V satıcılarında bu sorunu gören başka biri var mı?” bir şirket müşterisi 22 Mart’ta “Masaüstü istemcisinden başlatılan masaüstü güncellemesi için SentinelOne’dan gelen tehdit uyarıları” başlıklı bir gönderide sordu. Müşteri, güvenlik firması SentinelOne’dan bir uç nokta kötü amaçlı yazılım tespit ürününden bahsediyordu. Gönderiye, SentinelOne’ın bazı şüpheleri dahil edildi: kabuk kodunun tespiti, diğer işlem belleği alanına kod enjeksiyonu ve diğer yazılım istismarı ticari markaları.
Bu sorunu diğer A/V satıcılarında gören başka biri var mı?
Sömürü Sonrası
Sızma çerçevesi veya kabuk kodu algılandı
Kaçınma
Dolaylı komut yürütüldü
Hedef işlemin başlatılması sırasında diğer işlem belleği alanına kod enjeksiyonu
DeviceHarddiskVolume4Users**USERNAME**AppDataLocalPrograms3CXDesktopApp3CXDesktopApp.exe
SHA1 e272715737b51c01dc2bed0f0aee2bf6feef25f1
Uygulamayı web istemcisinden ( 3CXDesktopApp-18.12.416.msi ) yeniden indirmeye çalışırken de aynı tetikleyiciyi alıyorum.
Güvenmeyi varsayılan
Diğer kullanıcılar, SentinelOne yazılımlarından aynı uyarıları aldıklarını bildirmek için hemen devreye girdiler. Hepsi, Windows için 3CXDesktopApp’in 18.0 Güncelleme 7’sini (Derleme 312) çalıştırırken uyarı aldıklarını bildirdi. Kullanıcılar çok geçmeden algılamanın SentinelOne ürünündeki bir aksaklık tarafından tetiklenen yanlış bir pozitif olduğuna karar verdiler. Şüpheli uygulamanın müdahale olmadan çalışmasına izin vermek için bir istisna oluşturdular. Bir gün sonra Cuma günü ve yine bir sonraki Pazartesi ve Salı günü, daha fazla kullanıcı SentinelOne uyarısı aldığını bildirdi.
Daha ileri görüşlü katkılardan birinde, Salı günü bir kullanıcı şunları yazdı: “Burada açıklanan ‘düzeltmelerin’ aynısını uyguladık, ancak 3CX ve/veya SentinelOne’dan gelecek bir yanıt gerçekten yardımcı olacaktır çünkü varsayılan olarak güvenmekten hoşlanmıyorum. Tedarik zinciri saldırılarının mevcut güvenlik ortamı.”
Reklamcılık
Birkaç dakika sonra, 3CX destek ekibinin bir üyesi ilk kez tartışmaya katıldı ve uyarıyı tetikleyen şirketin yazılımı olduğu için müşterilerin SentinelOne ile iletişime geçmelerini önerdi. Başka bir müşteri yanıt olarak geri çekildi ve şunları yazdı:
Hmmm… hem 3CX hem de SentinelOne kullanan kişi sayısı arttıkça aynı sorunla karşılaşılır. 3CX’ten biri olarak SentinelOne ile iletişime geçip bunun yanlış bir pozitif olup olmadığını anlasanız iyi olmaz mıydı? – Sağlayıcıdan sağlayıcıya – yani sonunda, siz ve topluluk bunun hâlâ sağlam olup olmadığını bilecek misiniz?
3CX destek temsilcisi şu yanıtı verdi:
Kulağa ideal gibi gelse de, dışarıda binlerce olmasa da yüzlerce AV çözümü var ve bir olay meydana geldiğinde onlara her zaman ulaşamıyoruz. Uygulamamız için Electron çerçevesini kullanıyoruz, belki de işlevselliği varsa bazılarını engelliyorlar mı?
Muhtemelen anladığınız gibi, yazılımları ve aldığı kararlar üzerinde hiçbir kontrolümüz yok, bu yüzden bu konuda yorum yapmak bizim yerimiz değil. En azından bu durumda, SentinelOne müşterilerinin güvenlik yazılımı sağlayıcılarıyla iletişime geçip bunun neden olduğunu öğrenmelerinin daha mantıklı olduğunu düşünüyorum. Bir yanıt alırsanız bulgularınızı buraya göndermekten çekinmeyin.
Dünyanın, SentinelOne’ın haklı olduğunu ve yanlış pozitif olduğundan şüphelenen kişilerin haksız olduğunu öğrenmesi için bir 24 saat daha geçmesi gerekecekti.
Daha önce bildirildiği üzere, Kuzey Kore hükümetine bağlı bir tehdit grubu, 3CX yazılım oluşturma sistemini tehlikeye attı ve kontrolü, Windows ve macOS için şirketin DesktopApp programlarının Truva atı haline getirilmiş sürümlerini zorlamak için kullandı. Kötü amaçlı yazılım, virüslü makinelerin aktör tarafından kontrol edilen sunuculara işaret etmesine ve bilinmeyen kriterlere bağlı olarak, ikinci aşama yüklerin belirli hedeflere konuşlandırılmasına neden olur. Birkaç durumda, saldırganlar virüs bulaşmış makinelerde “klavyede uygulamalı etkinlik” gerçekleştirdi, yani saldırganlar makinelerde komutları manuel olarak çalıştırdı.
3CX ve kullanıcıları tarafından dikkate alınmayan algılamayı içeren döküm, hem destek ekipleri hem de son kullanıcılar için uyarıcı bir hikaye işlevi görmelidir, çünkü genellikle şüpheli etkinlikle ilk karşılaşanlar onlardır. 3CX temsilcileri, bu haber için yorum isteyen bir mesaja yanıt vermedi.
Kaynak : https://insidexpress.com/technology/3cx-ignores-malicious-app-flag-for-a-week/?utm_source=rss&utm_medium=rss&utm_campaign=3cx-ignores-malicious-app-flag-for-a-week