Leverancier van voip-software 3CX, dat slachtoffer werd van een supplychain-aanval, heeft eerste meldingen over malware in de eigen software niet serieus genomen. Dat laat ceo Nick Galea weten. 3CX is één van de grootste leveranciers van zakelijke telefonieoplossingen. Het bedrijf claimt zeshonderdduizend klanten en twaalf miljoen dagelijkse gebruikers te hebben.
3CX biedt onder andere een desktopapplicatie om vanaf de desktop te kunnen bellen of voicemail te beluisteren. Aanvallers wisten verschillende versies van de software voor macOS en Windows van malware te voorzien. Deze malware kan aanvullende malware installeren, die informatie steelt en de aanvaller toegang tot het systeem geeft Op 22 maart lieten verschillende gebruikers van de software weten dat hun beveiligingssoftware een waarschuwing voor de 3CX-desktopapplicatie gaf.
Medewerkers van 3CX besloten om de officiële installer dezelfde dag naar VirusTotal te uploaden. Dit is een online virusscandienst van Google waarmee bestanden door tientallen virusscanners zijn te controleren. Geen van de producten, ook niet het product dat bij klanten alarm sloeg, detecteerde malware in de installer. De scan van VirusTotal gebruikt alleen de command line versie van de antivirussoftware en voert alleen een statische analyse uit. De resultaten tussen VirusTotal en de desktopversie die bij gebruikers draait kunnen dan ook verschillen.
“Vanwege de manier waarop voip-apps werken zou het niet de eerste keer zijn [dat een virusscanner alarm slaat]. Het gebeurt regelmatig, dus om eerlijk te zijn, hebben we het niet zo serieus genomen”, aldus Galea in een interview met Cyberscoop. Nadat de scan via VirusTotal op 22 maart niets opleverde besloot het bedrijf het daarbij te laten, aldus Galea. Op 29 maart werd 3CX door securitybedrijf CrowdStrike ingelicht dat aanvallers malware aan de installer hadden toegevoegd. “Toen gaven we het veel meer aandacht, wat we achteraf gezien eigenlijk eerder hadden moeten doen. We hadden eerder echter niet door hoe ernstig het was”, zo stelt de ceo.
Gisteren kwam 3CX met een update over de situatie, maar die bevat geen echt nieuwe informatie. Gebruikers wordt nog altijd aangeraden de desktopapplicatie te verwijderen en de webapplicatie van de voip-software te gebruiken. Verder wordt organisaties opgeroepen om hun netwerken op de malware te controleren die de aanvallers via het installatieprogramma hebben geïnstalleerd.