3CX 提醒客户禁用 SQL 数据库集成功能

尽管今天发布的这份安全公告并未提及任何详情，但建议客户采取预防措施，禁用 MongoDB、MsSQL、MySQL 和 PostpreSQL 数据库集成功能。

3CX 公司的首席信息安全官 Pierre Jourdan 表示，“如果在使用易受漏洞（具体取决于配置情况）利用攻击的 SQL Database 集成功能，作为预防措施，虽然我们在着手准备修复方案，但请按照如下指南禁用它。”

Jordan 解释称，该安全漏洞仅影响 3CX VOIP 软件版本18和20。另外，并非所有基于 web 的 CRM 集成均受影响。该公司的社区网站发布文章分享了和该安全公告相关的链接，但并未提供更多详情。

在本文发布时，论坛帖子和公告均为锁定状态，评论功能被禁用。

3CX 公司的首席信息安全官 Pierre Jourdan 表示，仅有0.25%的用户“集成SQL”。其产品至少用于35万家企业，也就是说至少有875家企业受影响。

虽然该公司尚未提供更多关于该漏洞的详情，但该公司表示，它是位于 3CX CRM Integration with SQL 数据库中的一个SQL 注入漏洞。

该漏洞在10月11日发现，不过安全研究员和 CERT/CC 与 3CX 公司联系两个月未果，尽管在第一天就已经与该公司的客户支持获得联系。

发现该漏洞的研究员表示，3CX 的运营总监在12月15日证实了该漏洞报告，并提醒客户禁用 SQL/CRM 集成功能以拦截SQL注入攻击，但并未透露更多详情。

3月份，3CX 公司披露称其 3CXDesktopApp Electron 桌面客户端遭供应链攻击导致的木马化，疑似朝鲜黑客组织 UNC4736 分发恶意软件。

该公司花费一周时间应对客户报告称该软件被多家网络安全公司标记为恶意性质，如 CrowdStrike、SentinelOne、ESET、Palo Alto Networks 和 SonicWall 等，之后才披露供应链攻击事件。

Mandiant 公司之后披露称 3CX 攻击事件因 Trading Technologies 股票交易自动化公司遭受的另外一起供应链攻击导致。

3CX 公司表示其 Phone System 的日常用户的超过1200万，遍布全球超过35万个企业，其中不乏行业大型企业如宝马、可口可乐、宜家等。