要約

  • 攻撃者は、以前に侵害された正規署名済みの取引アプリケーションを通じて3CX に到達し、企業環境に侵入し、Windows および macOS のビルド環境を侵害しました。その結果、3CX インストーラーも正規に署名され、通常のチャネルを通じて配布され、2つのサプライヤーの信頼メカニズムが連鎖的な攻撃経路となりました。
  • 公開エンドポイントの証拠は3CX の確認に先行しました。SentinelOne は2023年3月22日から検出の急増を観測しました。3CX は3月29日に悪用の第三者報告を受けたと述べています。この間隔は、アラートの受け入れ、相関、エスカレーションにおける説明責任の問題として理解すべきであり、初期の報告だけで完全な侵害が確立されたという証拠ではありません。
  • 顧客は3CX の内部ビルドシステムを検査できませんでしたが、無力ではありませんでした。エンドポイントの振る舞い制御、DNS およびネットワークテレメトリ、ソフトウェアインベントリ、段階的アップデート、認証情報のローテーション、テスト済みのブラウザベースの代替手段により、露出または不確実性が軽減されました。
  • 責任は分化されたままです。攻撃者が侵入を引き起こしました。3CX はビルドの整合性、リリース署名、顧客コミュニケーション、セキュリティ報告経路を管理しました。顧客はローカル展開と対応を管理しました。セキュリティベンダーは検出品質とエスカレーションを管理しました。共有責任はこれらの義務を交換可能にするものではありません。

アップデートは信頼された経路だった

3CX のインシデントは顧客の境界から始まったわけではありません。影響を受けたユーザーにとって、危険な行動は、ベンダーのインフラから取得したソフトウェアの通常のインストールまたは自動アップデートである可能性がありました。パッケージは顧客が使用しようとした製品のように見えました。3CX のコード署名が付いていました。悪意のある動作は、ビジネスコール、会議、メッセージングに使用される使い慣れたデスクトッププロセス内で展開されました。ファイルが予想される発行元からのものであるかどうかのみを尋ねる制御は、したがって、誤った質問に対して正しい答えを受け取りました。

2023年3月30日、3CX は Windows Desktop App のバージョン18.12.407および18.12.416が影響を受けると特定し、後に macOS のリストをアップデート6および7で配信されたバージョンに拡大しました。その最初のセキュリティアラートは、顧客に Electron アプリケーションをアンインストールし、可能な場合はプログレッシブウェブアプリケーションを使用し、ホスト型または自己管理型サーバーを更新して影響を受けるインストーラーを提供しないように指示しました。サーバーとエンドポイントの区別が重要でした。電話システムサーバーから汚染されたパッケージを削除すると、その場所からのさらなる配布は停止されましたが、すべてのワークステーションがクライアントを削除したか、悪意のあるチェーンを実行したか、後続のペイロードを受信したかは確認できませんでした。

デジタル署名は、ソフトウェアが安全であるという証明としてあまりにも広く説明されることがよくあります。署名は、定義されたプロセス内での ID と整合性に関する証拠です。特定の署名キーの保持者が署名して以来、バイトが変更されていないことを示すことができます。署名者が含まれるすべてのコンポーネントを意図したこと、ビルドマシンがクリーンであること、または結果のプログラムが良性に動作することを証明するものではありません。この場合、署名は侵害されたパッケージを運用上より信頼できるものにしました。顧客とオペレーティングシステムが3CX を発行元として信頼する正当な理由があったからです。

これが、侵害されたオブジェクトがデスクトップアプリケーションであったにもかかわらず、このイベントがクラウドサービス依存カテゴリに属する理由です。デスクトップクライアントは、中央で管理される通信サービスに参加していました。そのアップデートパス、組織がアプリを提供するサーバー、ホスト型管理、外部コードリポジトリ、証明書インフラ、エンドポイントセキュリティサービス、脅威インテリジェンスチャネルがすべて結果に影響を与えました。アプリケーションはローカルで実行されましたが、信頼の決定はリモートで組み立てられました。

インシデントは単純な被害者数の集計にも抵抗します。ディスク上の脆弱または汚染されたパッケージは、完了したマルチステージの侵入とは異なります。シェルコードをブロックするセキュリティ製品は、検出されない感染とは異なります。偵察インフラとの接触は、オペレーターが最終ペイロードを配信したことの証明にはなりません。広範な配布はシステム全体の露出を生み出しました。攻撃者は依然として追加の行動のために特定のエンドポイントを選択するメカニズムを保持していました。厳密な説明責任の説明は、これらの状態を区別しなければなりません。

(以下、本文の翻訳が続く)