3CX desteği, müşterilere kötü amaçlı yazılım uyarılarını kendilerinin araştırmasını söyler

 3CX temsilcisi, kötü niyetli tespit hakkında "Bu konuda yorum yapmak bize düşmez" diyor.

3CX müşteri destek ekibi, masaüstü VoIP istemcisi için yakın zamanda yapılan bir güncellemenin kötü amaçlı olduğuna dair uyarıları ele almak için altı gün bekledi ve ardından müşterilere tek tavsiyesi, nedeni kendilerinin araştırmasıydı.

Uyarılar, SentinelOne'ın uç nokta koruma ürününden geliyordu. Bir penetrasyon çerçevesinin ve kabuk kodunun, diğer işlem belleği alanına kod enjeksiyonunun ve yazılım kullanımının diğer açık belirtilerinin varlığını tespit ediyordu. 22 Mart'ta başlayan uyarıların tümü, Windows için 3CXDesktopApp'ın 18.0 Güncelleme 7'sini (Derleme 312) işaretledi. Bazı müşteriler, uyarıların yanlış bir pozitif olduğu ve onları bastırmak için paylaşılan programlama kuralları olduğu sonucuna hemen vardı.

"3CX'in SentinelOne ile iletişime geçmesi iyi olmaz mıydı?"

Her geçen gün daha fazla müşteri, kendilerinin de uyarı aldıklarını bildirmek için katıldı. Bazıları endişelendi. Daha ileri görüşlü katkılardan birinde, Salı günü bir kullanıcı şunları yazdı: "Burada açıklanan 'düzeltmelerin' aynısını uyguladık, ancak 3CX ve/veya SentinelOne'dan gelecek bir yanıt gerçekten yardımcı olacaktır çünkü varsayılan olarak güvenmekten hoşlanmıyorum. Tedarik zinciri saldırılarının mevcut güvenlik ortamı.”

Birkaç dakika sonra, 3CX destek ekibinin bir üyesi ilk kez tartışmaya katıldı ve uyarıyı tetikleyen şirketin yazılımı olduğu için müşterilerin SentinelOne ile iletişime geçmelerini önerdi. Başka bir müşteri yanıt olarak geri çekildi ve şunları yazdı:

Hmmm... hem 3CX hem de SentinelOne kullanan kişi sayısı arttıkça aynı sorunla karşılaşılır. 3CX'ten biri olarak SentinelOne ile iletişime geçip bunun yanlış bir pozitif olup olmadığını anlasanız iyi olmaz mıydı? - Sağlayıcıdan sağlayıcıya - yani sonunda, siz ve topluluk bunun hala sağlam olup olmadığını bilecek misiniz?

3CX destek temsilcisi şu yanıtı verdi:

Kulağa ideal gibi gelse de, dışarıda binlerce olmasa da yüzlerce AV çözümü var ve bir olay meydana geldiğinde onlara her zaman ulaşamıyoruz. Uygulamamız için Electron çerçevesini kullanıyoruz, belki de işlevselliği varsa bazılarını engelliyorlar mı?

Muhtemelen anladığınız gibi, yazılımları ve aldığı kararlar üzerinde hiçbir kontrolümüz yok, bu yüzden bu konuda yorum yapmak bizim yerimiz değil. En azından bu durumda, SentinelOne müşterilerinin güvenlik yazılımı sağlayıcılarıyla iletişime geçip bunun neden olduğunu öğrenmelerinin daha mantıklı olduğunu düşünüyorum. Bir yanıt alırsanız bulgularınızı buraya göndermekten çekinmeyin. 

Dünyanın, SentinelOne'ın haklı olduğunu ve yanlış pozitif olduğundan şüphelenen kişilerin haksız olduğunu öğrenmesi için bir 24 saat daha geçmesi gerekecekti.

Daha önce bildirildiği üzere, Kuzey Kore hükümetine bağlı bir tehdit grubu, 3CX yazılım oluşturma sistemini tehlikeye attı ve kontrolü, Windows ve macOS için şirketin DesktopApp programlarının Truva Atılaştırılmış sürümlerini zorlamak için kullandı. Kötü amaçlı yazılım, virüslü makinelerin aktör tarafından kontrol edilen sunuculara işaret etmesine ve bilinmeyen kriterlere bağlı olarak, ikinci aşama yüklerin belirli hedeflere konuşlandırılmasına neden olur. Birkaç durumda, saldırganlar virüs bulaşmış makinelerde "klavyede uygulamalı etkinlik" gerçekleştirdi, yani saldırganlar makinelerde komutları manuel olarak çalıştırdı.

3CX ve kullanıcıları tarafından dikkate alınmayan algılamayı içeren döküm, hem destek ekipleri hem de son kullanıcılar için uyarıcı bir hikaye işlevi görmelidir, çünkü genellikle şüpheli etkinlikle ilk karşılaşanlar onlardır. 3CX temsilcileri, bu hikaye için yorum isteyen bir mesaja yanıt vermedi.

18 Nisan Güncellemesi: Bu gönderi yayına girdikten sonra gönderilen e-postalarda, 3CX kurucusu, CEO'su ve CTO'su Nick Galea şunları yazdı: "İlk uyarıyı kendim gördüm ve yanlış pozitif olarak dikkate almadım. Bu açıkça yanlıştı. Savunmamda bir voip uygulaması oldukça düzenli olarak yanlış bir pozitif olarak işaretleniyor, ancak kararım için kesinlikle hiçbir mazeret yok."

Galea, uyarıların başlamasından sonraki günlerde şirketin işaretli yazılım güncellemesini VirusTotal'da "birkaç kez" taradığını söyleyerek devam etti. "Diğer 40 virüs motorunun hiçbiri dosyayı kötü amaçlı olarak işaretlemedi, bu yüzden onu yanlış bir pozitif olarak değerlendirdik" diye yazdı. 3CX'teki herhangi birinin algılamayı tartışmak için SentinelOne ile iletişime geçip geçmediğini söylemedi.