【安全圈】3CX 警告客户禁用 SQL 数据库集成

2023年12月17日20:25:39评论27 views字数 766阅读2分33秒阅读模式

关键词

漏洞

VoIP通信公司3CX今天警告客户禁用SQL数据库集成，因为它所描述的潜在漏洞存在潜在风险。

尽管今天发布的安全公告缺乏有关该问题的任何具体信息，但它建议客户通过禁用MongoDB、MsSQL、MySQL和PostgreSQL数据库集成来采取预防措施。

“如果您使用SQL数据库集成，则可能存在漏洞-取决于配置，”3CX首席信息安全官PierreJourdan表示。

“作为预防措施，在我们进行修复的同时，请按照以下说明将其禁用。”

Jourdan解释说，该安全问题仅影响3CX互联网语音协议(VOIP)软件的版本18和20。此外，并非所有基于Web的CRM集成都会受到影响。

今天早些时候，我们在公司社区网站上分享了帖子，其中包含安全通报的链接，但没有提供其他信息。

3月份，3CX披露其基于3CXDesktopAppElectron的桌面客户端在供应链攻击中被木马化，攻击者为<i=3>UNC4736朝鲜黑客组织用于传播恶意软件。

由于该公司花了一周多的时间才对一系列客户报告做出反应，该报告称该软件已被多家网络安全公司（包括CrowdStrike、SentinelOne、ESET、PaloAltoNetworks和SonicWall）标记为恶意软件，因此推迟了披露。

网络安全公司Mandiant后来发现，3CX黑客攻击是另一次供应链攻击造成的，该攻击影响了TradingTechnologies股票交易自动化公司。

3CX表示，其电话系统每天拥有超过1200万用户，并被全球超过350,000家企业使用，其中包括知名组织和企业法国航空、英国国家医疗服务体系、宝马、丰田、百事可乐、美国运通、可口可乐、宜家、本田和雷诺等公司。

END

原文始发于微信公众号（安全圈）：【安全圈】3CX 警告客户禁用 SQL 数据库集成

霍尼韦尔：针对工业组织的 USB 恶意软件攻击变得更加复杂