{"id":3576,"date":"2023-04-14T18:10:17","date_gmt":"2023-04-14T23:10:17","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=3576"},"modified":"2023-04-14T18:15:21","modified_gmt":"2023-04-14T23:15:21","slug":"se-conocen-las-causas-del-ataque-al-software-de-comunicaciones-ip-3cx","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/recursos\/se-conocen-las-causas-del-ataque-al-software-de-comunicaciones-ip-3cx\/","title":{"rendered":"Se conocen las causas del ataque al software de comunicaciones IP 3CX"},"content":{"rendered":"\n

El proveedor de software de telecomunicaciones empresariales 3CX confirm\u00f3 el ataque a varias versiones de su aplicaci\u00f3n de escritorio para Windows y macOS conocido como ataque a la\u00a0cadena de suministro.<\/p>\n\n\n\n

3CX Phone System<\/strong> (Sistema Telef\u00f3nico 3CX) es una soluci\u00f3n especializada basada en Debian<\/a>,1<\/a><\/sup>\u200b creada por 3CX<\/a>, dise\u00f1ada para correr una plataforma completa de comunicaciones unificada, basada en el software de PBX<\/a> (private branch exchange).<\/p>\n\n\n\n

E<\/strong>l CISO Pierre Jourdan de 3CX<\/strong> informo a los clientes de que varias versiones de su aplicaci\u00f3n Electron Windows conten\u00edan un \u00abproblema de seguridad\u00bb. Las versiones afectadas incluyen Electron Windows App 18.12.407 y 18.12.416 de Update 7, as\u00ed como las versiones de la aplicaci\u00f3n Electron Mac 18.11.1213, 18.12.402, 18.12.407 y 18.12.416.<\/strong><\/p>\n\n\n\n

\"\"<\/a>
https:\/\/www.3cx.com\/blog\/news\/desktopapp-security-alert\/<\/figcaption><\/figure>\n\n\n\n

A esta vulnerabilidad que est\u00e1 en an\u00e1lisis se le ha asignado el identificador CVE (Common Vulnerabilities and Exposures – Vulnerabilidades y exposiciones comunes) CVE-2023-29059<\/a>.<\/p>\n\n\n\n

3CX tiene m\u00e1s de 600.000 clientes en todo el mundo y 12 millones de usuarios<\/strong> y entre los principales clientes est\u00e1n: American Express, McDonald’s, Coca-Cola, NHS, Toyota, BMW y Honda.<\/p>\n\n\n\n

Los problemas con el software de 3CX surgieron por primera vez el mi\u00e9rcoles cuando CrowdStrike report\u00f3 actividad maliciosa con 3CXDesktopApp.exe<\/strong>, el ejecutable firmado para la aplicaci\u00f3n ligera de tel\u00e9fono del proveedor. \u00abLa actividad maliciosa incluye balizamiento a la infraestructura controlada por actores, despliegue de cargas \u00fatiles de segunda etapa y, en un peque\u00f1o n\u00famero de casos, actividad pr\u00e1ctica en el teclado\u00bb, escribi\u00f3 CrowdStrike en una publicaci\u00f3n de blog. Agreg\u00f3 que la campa\u00f1a estaba conectada al grupo de pirater\u00eda patrocinado por el estado norcoreano Labyrinth Chollima<\/strong>, tambi\u00e9n conocido como Lazarus Group<\/a> o APT 38.<\/p>\n\n\n\n

Mientras tanto, otras plataformas de detecci\u00f3n de amenazas y antimalware tambi\u00e9n marcaron la aplicaci\u00f3n de escritorio de 3CX por actividad potencialmente maliciosa, incluidos Sophos y ESET<\/strong>.<\/p>\n\n\n\n

Los datos de telemetr\u00eda compartidos por Fortinet<\/a> muestran que la distribuci\u00f3n geogr\u00e1fica de las m\u00e1quinas v\u00edctimas que llaman a la infraestructura controlada por actores conocidos abarca principalmente: Italia, Alemania, Austria, Estados Unidos, Sud\u00e1frica, Australia, Suiza, Pa\u00edses Bajos, Canad\u00e1, Reino Unido y Latinoam\u00e9rica.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

3CX dijo que la alerta inicial que marcaba un posible problema de seguridad en su aplicaci\u00f3n la semana pasada fue tratada como un \u00abfalso positivo<\/strong>\u00bb debido al hecho de que ninguno de los motores antivirus en VirusTotal <\/strong>lo etiquet\u00f3 como sospechoso o malware.<\/p>\n\n\n\n

La versi\u00f3n de Windows del ataque<\/a> aprovech\u00f3 una t\u00e9cnica llamada carga lateral de DLL para cargar una biblioteca no autorizada conocida como \u00abffmpeg.dll\u00bb que est\u00e1 dise\u00f1ada para leer shellcode cifrado de otra DLL llamada \u00abd3dcompiler_47.dll\u00bb.<\/p>\n\n\n\n

Esto implic\u00f3 acceder a un repositorio de GitHub para recuperar un archivo ICO<\/a> que contiene URL que alojan la carga \u00fatil de la etapa final, un ladr\u00f3n de informaci\u00f3n (denominado ICONIC Stealer<\/a> o SUDDENICON)<\/a> capaz de recopilar informaci\u00f3n del sistema y datos confidenciales almacenados en navegadores web.<\/p>\n\n\n\n

Por otra parte, Sophos se\u00f1al\u00f3<\/a> que el shellcode<\/a> utilizado en el ataque es una \u00abcoincidencia byte a byte\u00bb con muestras anteriores vistas en incidentes atribuidos exclusivamente al Grupo Lazarus<\/strong>.<\/p>\n\n\n\n

\u00abEl objetivo en cuesti\u00f3n, 3CXDesktopApp, se basa en el marco de c\u00f3digo abierto Electron. Ambas bibliotecas en cuesti\u00f3n generalmente se env\u00edan con el tiempo de ejecuci\u00f3n de Electron y, por lo tanto, es poco probable que levanten sospechas dentro de los entornos de los clientes\u00bb.<\/p>\n\n\n\n

\"Ataque<\/a>
3CX Supply Chain Attack \u2014 Here’s What We Know So Far (thehackernews.com)<\/a><\/figcaption><\/figure>\n\n\n\n

La cadena de ataque de macOS, en la misma l\u00ednea, evit\u00f3 las comprobaciones de notarizaci\u00f3n de Apple para descargar una carga \u00fatil desconocida de un servidor de comando y control (C2) que actualmente no responde.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

Google Chrome bloquea el \u00faltimo instalador de 3CX MSI<\/strong><\/h2>\n\n\n\n

3CX, en una actualizaci\u00f3n<\/a> compartida el viernes, dijo que Google est\u00e1 prohibiendo las descargas de los archivos del instalador MSI a trav\u00e9s de su navegador web Chrome. Tambi\u00e9n se\u00f1al\u00f3 que los motores antivirus de varias compa\u00f1\u00edas est\u00e1n bloqueando cualquier software firmado con el antiguo certificado de seguridad.<\/p>\n\n\n\n

Se han bloqueado los siguientes instaladores MSI: SBC para Windows, aplicaci\u00f3n de escritorio de Windows y Call Flow Designer. Sin embargo, hay indicios de que la restricci\u00f3n puede haberse levantado, ya que algunos clientes informan<\/a> que pueden descargar la \u00faltima versi\u00f3n (18.12.422<\/strong>) a trav\u00e9s de Chrome.<\/p>\n\n\n\n

3CX dijo que est\u00e1 haciendo nuevos instaladores MSI con un nuevo certificado y un nuevo servidor de compilaci\u00f3n, un proceso que se espera que tome algunas horas. Adem\u00e1s, est\u00e1 alentando a sus clientes a usar la versi\u00f3n de la aplicaci\u00f3n web (PWA) en su lugar.<\/p>\n\n\n\n

El fen\u00f3meno conocido como \u00abFatiga de alerta\u00bb<\/strong><\/h2>\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

El ataque de gran alcance a la cadena de suministro contra 3CX podr\u00eda haberse detectado antes si los profesionales de seguridad no estuvieran tan insensibilizados al flujo de alertas y falsos positivos<\/strong> frecuentes provenientes de sus herramientas de detecci\u00f3n de amenazas. Este fen\u00f3meno, conocido como \u00abfatiga de alerta<\/strong>\u00ab, es ampliamente reconocido pero dif\u00edcil de solucionar. <\/p>\n\n\n\n

El compromiso de 3CX muestra las consecuencias del problema en el mundo real para los equipos o profesionales de ciberseguridad que se deben tener en cuenta a la hora de investigar una ciber amenaza.<\/p>\n\n\n\n

\n\n\n\n
\"\"<\/a><\/figure>\n\n\n\n

PTaaS<\/a><\/strong>: es un servicio moderno para encontrar vulnerabilidades y hacer pruebas de penetraci\u00f3n (Pentest) y Hacking \u00e9tico aprovechando la potencia de software especializado y la nube con la capacidad de realizar pruebas de seguridad bajo demanda, de forma \u00e1gil, automatizada y continua. Todo esto con el soporte, acompa\u00f1amiento, revisi\u00f3n y verificaci\u00f3n manual de nuestro Red Team<\/strong>.<\/p>\n\n\n\n

Recibe un Diagn\u00f3stico Sin Costo <\/strong>del estado de seguridad de tu aplicaci\u00f3n o sitio web dando clic en el siguiente enlace:<\/p>\n\n\n\n

\n
Quiero el Diagn\u00f3stico Gratis<\/a><\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

El proveedor de software de telecomunicaciones empresariales 3CX confirm\u00f3 el ataque a varias versiones de su aplicaci\u00f3n de escritorio para Windows y macOS conocido como ataque a la\u00a0cadena de suministro. 3CX Phone System (Sistema Telef\u00f3nico 3CX) es una soluci\u00f3n especializada basada en Debian,1\u200b creada por 3CX, dise\u00f1ada para correr una plataforma completa de comunicaciones unificada, basada en el…<\/p>\n","protected":false},"author":1,"featured_media":3579,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[404,403,53,34,19,28,320],"class_list":["post-3576","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-recursos","tag-3cx","tag-ataque-cadena-de-suministro","tag-ciberataque","tag-ciberseguridad","tag-malware","tag-proteccion-de-datos","tag-voip"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3576","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=3576"}],"version-history":[{"count":5,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3576\/revisions"}],"predecessor-version":[{"id":3588,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/3576\/revisions\/3588"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/3579"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=3576"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=3576"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=3576"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}