Il sistema di comunicazione VoIP 3CX è stato violato
Recentemente è stata diffusa la notizia, confermata dalla stessa 3CX, che il sistema di comunicazione VoIP 3CX è stato violato e utilizzato per distribuire versioni trojanizzate della sua applicazione desktop Windows.
Dalle analisi è emerso che gli hacker stessero lavorando a questo attacco già da febbraio 2022 (senza che 3CX si fosse accorta di nulla), benché il primo tentativo messo in atto venga fatto risalire al 22 Marzo scorso, quando i software di sicurezza di SentinelOne hanno iniziato a rilevare attività insolite generate dai binari 3CX firmati. Questi segnali hanno portato i ricercatori a indagare in profondità e ciò che hanno scoperto è un attacco alla catena di approvvigionamento di 3CX, che coinvolge un’ampia gamma di domini e altre infrastrutture e che potrebbe portare gravi conseguenze per la sicurezza informatica dei clienti di 3CX.
[Nota tecnica]Nell’ambito di questo attacco, due DLL utilizzate dall’applicazione desktop di Windows sono state sostituite con versioni malevoli che scaricano malware sui computer (trojan che rubano informazioni). Una delle DLL dannose utilizzate nell’attacco è solitamente una DLL legittima firmata da Microsoft chiamata d3dcompiler_47.dll, che, gli autori dell’attacco hanno modificato per includere un payload dannoso crittografato alla fine del file (una routine presente in un virus informatico che ne estende le funzioni). La fase finale dell’attacco implementa dunque la funzionalità di infostealer (software malevolo che cerca di rubare le informazioni), inclusa la raccolta di informazioni di sistema e informazioni sul browser da parte di Chrome, Edge, Brave e Firefox.
La società ha confermato con ritardo l’incidente sul proprio sito Web e sul forum della comunità.
Il prodotto preso di mira, 3CX appunto, è un “centralino” VoIP scaricabile da internet e sviluppato da un’azienda americana. L’azienda stessa ha annunciato, anche se con un ritardo di 8 giorni da quando il problema era stato rilavato da SentinelOne, che il proprio client desktop era stato violato da attori malevoli e ha iniziato a diffondere malware dopo un attacco alla catena di approvvigionamento. Attualmente tutti i sistemi antivirus rilevano la minaccia e segnalano 3CXDesktopApp come malware, eliminandolo e talvolta disinstallandolo quando già presente sul sistema della vittima.
Nel momento dell’attacco 3CX non ha potuto far altro che suggerire ai propri clienti di utilizzare la versione Web dell’applicazione anziché l’app Windows. Vale a dire che per il momento l’unica mitigazione possibile, è evitare l’utilizzo della App desktop. Ancor oggi non è chiara la soluzione da adottare per risolvere il problema.
La sicurezza informatica non può essere barattata con l’economicità dei sistemi VoIP
Questo grave episodio dimostra come i sistemi VoIP, che non sono progettati per garantire la sicurezza, sono vulnerabili agli attacchi informatici, come il furto di credenziali di accesso, il phishing, l’infezione di malware e il DoS (Denial of Service). Inoltre, possono verificarsi problemi di sicurezza legati alle configurazioni errate del sistema, alle vulnerabilità del software utilizzato e alle politiche di sicurezza insufficienti.
In particolare, le vulnerabilità dei sistemi telefonici VoIP, progettati con scarsa attenzione al tema della sicurezza informatica possono essere di 2 tipologie:
- Attacco al Server del centralino VoIP.
Qualsiasi sistema telefonico VoIP per poter funzionare correttamente deve avere alcune porte aperte verso l’esterno della rete, che lo possono esporre al rischio di attacchi. Per mitigare questo rischio i Firewall perimetrali devono essere configurati in modo corretto da tecnici esperti, ma questo potrebbe anche non essere sufficiente. Se il centralino VoIP non è progettato con opportuni sistemi di sicurezza a livello di codice può essere attaccato sfruttando le porte di comunicazione SIP o del server Web.
Inoltre, nel caso in cui il software del centralino venga installato su un Sistema Operativo Windows o peggio ancora se si installa su client Windows, il centralino eredita tutti i problemi di sicurezza del sistema operativo su cui si appoggia, proprio come avvenuto nel caso dell’App Desktop di 3CX.
- Attacco su Client Windows o Mac.
Se il centralino necessita di una App/ Client installata su Windows o Mac e non è dotato di una interfaccia WEBRTC, anche tutte le postazioni su cui è installata devono essere protette, altrimenti possono essere veicolate infezioni di trojan, virus, malware, proprio come avvenuto nel caso di 3CX.
Quali le possibili conseguenze di un attacco hacker al sistema VOIP?
In caso di attacco informatico al centralino telefonico le conseguenze possono essere anche molto gravi, con ripercussioni non solo da un punto di vista economico, ma anche operativo, legale e di immagine.
Basti considerare che nel caso meno grave l’attacco può consentire all’intruso di utilizzare le linee telefoniche aziendali per chiamate non autorizzate, con ripercussioni evidenti sulle bollette telefoniche, ma si possono verificare casi di interruzione del servizio telefonico o addirittura casi in cui l’attacco arrivi a violare i dati aziendali, con ripercussioni sull’operatività aziendale e possibili conseguenze legali nel caso di furto o violazione di dati sensibili.
Per prevenire questi rischi è importante adottare politiche di sicurezza solide, come l’utilizzo di password forti e complesse, la verifica della sicurezza del software e del firmware utilizzati e l’aggiornamento costante del sistema, ma soprattutto è necessario, già in fase di selezione dei sistemi telefonici, mettere in primo piano l’aspetto della sicurezza nella scelta della soluzione. La sicurezza del sistema telefonico non può essere barattata con la sua “presunta” economicità.
E’ per questo che dal 2009 New è Gold partner di Wildix, per le soluzioni di Comunicazione Unificata VoIP
I team di sviluppo di Wildix garantiscono infatti in ogni fase della progettazione del loro sistema telefonico la sicurezza, applicando severi controlli e assicurando che anche i codici di terze parti siano adatti allo scopo durante ogni iterazione dello sviluppo. Questo processo costa certamente risorse e denaro, ma significa che i clienti hanno la certezza che il loro sistema telefonico è al sicuro da attacchi informatici.
I clienti di New che adottano un sistema di comunicazione unificata Wildix possono fidarsi del fatto che i sistemi sono sicuri fin dalla progettazione (secure by design) e che sono state investite molte risorse nell’analisi e nella mitigazione delle minacce, attraverso processi di sviluppo, anche per le librerie di codici di terze parti.
New garantisce la massima sicurezza dei sistemi di comunicazione VoIP di Wildix, eliminando la necessità di Firewall e di connessioni VPN per accedere al sistema o per collegare più sedi perché il sistema è progettato per essere sicuro.