尽管今天发布的安全公告缺乏有关该问题的任何具体信息,但它建议客户通过禁用MongoDB、MsSQL、MySQL和PostgreSQL数据库集成来采取预防措施。“如果您使用SQL数据库集成,则可能存在漏洞-取决于配置,”3CX首席信息安全官PierreJourdan表示。“作为预防措施,在我们进行修复的同时,请按照以下说明将其禁用。”Jourdan解释说,该安全问题仅影响3CX互联网语音协议(VOIP)软件的版本18和20。此外,并非所有基于Web的CRM集成都会受到影响。今天早些时候,我们在公司社区网站上分享了帖子,其中包含安全通报的链接,但没有提供其他信息。2023年3月供应链攻击3月份,3CX披露其基于3CXDesktopAppElectron的桌面客户端在供应链攻击中被木马化,攻击者为<i=3>UNC4736朝鲜黑客组织用于传播恶意软件。由于该公司花了一周多的时间才对一系列客户报告做出反应,该报告称该软件已被多家网络安全公司(包括CrowdStrike、SentinelOne、ESET、PaloAltoNetworks和SonicWall)标记为恶意软件,因此推迟了披露。网络安全公司Mandiant后来发现,3CX黑客攻击是另一次供应链攻击造成的,该攻击影响了TradingTechnologies股票交易自动化公司。3CX表示,其电话系统每天拥有超过1200万用户,并被全球超过350,000家企业使用,其中包括知名组织和企业法国航空、英国国家医疗服务体系、宝马、丰田、百事可乐、美国运通、可口可乐、宜家、本田和雷诺等公司。 END
评论