La société de communications VoIP 3CX a averti aujourd'hui ses clients de désactiver les intégrations de base de données SQL en raison des risques posés par ce qu'elle décrit comme une vulnérabilité potentielle.

Bien que l'avis de sécurité publié aujourd'hui ne contienne aucune information spécifique sur le problème, il conseille aux clients de prendre des mesures préventives en désactivant leurs intégrations de bases de données MongoDB, MsSQL, MySQL et PostgreSQL.

« Si vous utilisez une intégration de base de données SQL, elle est potentiellement sujette à une vulnérabilité – en fonction de la configuration », déclare Pierre Jourdan, responsable de la sécurité de l'information chez 3CX. dit.

« Par mesure de précaution, et pendant que nous travaillons sur un correctif, veuillez suivre les instructions ci-dessous pour le désactiver. »

Jourdan a expliqué que le problème de sécurité concerne uniquement les versions 18 et 20 du logiciel Voice Over Internet Protocol (VOIP) de 3CX. De plus, toutes les intégrations CRM basées sur le Web ne sont pas affectées.

UN poste sur le site Web communautaire de l'entreprise a été partagé plus tôt dans la journée avec un lien vers l'avis de sécurité, mais aucune information supplémentaire.

Le message du forum et l'avis étaient verrouillés lors de la publication de cet article et les commentaires n'étaient pas autorisés.

Attaque de la chaîne d'approvisionnement de mars 2023

En mars, 3CX a révélé que son client de bureau basé sur 3CXDesktopApp Electron avait été infecté par un cheval de Troie lors d'une attaque sur la chaîne d'approvisionnement par le groupe de piratage nord-coréen UNC4736 visant à distribuer des logiciels malveillants.

La divulgation a été retardée car la société a mis plus d'une semaine à réagir à un flux de rapports de clients indiquant que le logiciel avait été qualifié de malveillant par plusieurs sociétés de cybersécurité, notamment CrowdStrike, SentinelOne, ESET, Palo Alto Networks et SonicWall.

Cette réponse tardive a permis aux attaquants de pirater plusieurs clients de 3CX, notamment des sociétés de cryptomonnaie et des organisations d'infrastructures critiques.

Comme l’a découvert plus tard la société de cybersécurité Mandiant, le piratage 3CX résulte d’une autre attaque de la chaîne d’approvisionnement qui a touché la société d’automatisation des transactions boursières Trading Technologies.

3CX affirme que son système téléphonique compte plus de 12 millions d'utilisateurs quotidiens et est utilisé par plus de 350 000 entreprises dans le monde entier, notamment des organisations et des entreprises de premier plan telles qu'Air France, le National Health Service du Royaume-Uni, BMW, Toyota, PepsiCo, American Express, Coca-Cola, IKEA, Honda et Renault.

3CX n'a ​​pas répondu à une demande de commentaire lorsque BleepingComputer nous a contacté plus tôt dans la journée.

Mise à jour le 15 décembre à 15 h 52 HNE : Pierre Jourdan, RSSI de 3CX, affirme que seulement 0,25 % de la base d'utilisateurs « ont intégré la suite ». Avec ses produits utilisés par au moins 350 000 entreprises, selon 3CX, un minimum de 875 clients pourraient être potentiellement impactés par ce problème de sécurité non divulgué.