Un proveedor externo de 3CX, un popular proveedor de comunicaciones de voz sobre protocolo de Internet (VoIP), dejó un servidor abierto y expuso datos sensibles de 3CX. El problema pasó desapercibido para la empresa, a pesar de que recientemente fue objetivo de piratas informáticos norcoreanos.
Aunque no hay que ridiculizar a las víctimas de ciberataques, hay una razón por la que refranes como "si me engañas una vez, te avergüenzo; si me engañas dos, me avergüenzo" resuenan tan bien.
A principios de este año, presuntos piratas informáticos norcoreanos se aprovecharon de 3CX para realizar ataques a la cadena de suministro, propagando malware a dispositivos que utilizaban el software de la empresa.
A pesar de esta experiencia previa con filtraciones de datos, el equipo de investigación de Cybernews descubrió recientemente instancias abiertas de Elasticsearch (motor de búsqueda y análisis distribuido) y Kibana (herramienta de visualización y exploración de datos) pertenecientes a un proveedor externo de 3CX. Las instancias, que contenían datos sensibles de 3CX, fueron descubiertas el 15 de mayo, casi dos meses después de que los ataques iniciales se hicieran públicos.
"El hallazgo sugiere que la forma en que 3CX hace frente a los ciberataques es insuficiente, ya que las instancias expuestas no fueron detectadas. Mientras tanto, atacantes habilidosos podrían utilizar los datos para volver a entrar en las redes de 3CX".
Nos pusimos en contacto con 3CX para obtener comentarios, pero no recibimos respuesta antes de publicar este artículo.
"El hallazgo sugiere que la forma en que 3CX hace frente a los ciberataques es insuficiente, ya que los casos expuestos no fueron detectados. Mientras tanto, los atacantes hábiles podrían utilizar los datos para volver a entrar en las redes de 3CX.".
¿Qué datos de 3CX estaban expuestos?
Las instancias expuestas, que la empresa cerró después de que nos pusiéramos en contacto con ellos, contenían información que los atacantes podrían haber utilizado para espiar a los clientes de 3CX o hacer preparativos para ataques más grandes y sofisticados. Las instancias abiertas expuestas:
- Metadatos de llamadas, incluyendo hora, estado, duración, número de teléfono y correo electrónico
- Claves de licencia
- Cadenas de base de datos codificadas
Los atacantes pueden aprovechar los metadatos de las llamadas para hacerse una imagen íntima del comportamiento de los interlocutores, deduciendo quién llamó a quién y durante cuánto tiempo. La información adicional podría permitirles concluir de qué se habló durante las llamadas.
"Además, los metadatos de llamadas pueden revelar información interna de la empresa o incluso la salud de una organización. Por ejemplo, si hay muchas llamadas esporádicas, eso podría significar pánico", señalan los investigadores de Cybernews.
Mientras tanto, la exposición de las claves de licencia de software presenta una serie de problemas diferentes. Dado que garantizan que el software se obtiene legítimamente, los atacantes pueden utilizar las claves expuestas para utilizar el software 3CX sin pagar por él.
En algunos casos, la activación del software permite al usuario sincronizar datos entre dispositivos. De esta manera, los atacantes podrían acceder a los datos del usuario simplemente instalando el software y utilizando una clave de licencia legítima.
Sin embargo, según el equipo, exponer las cadenas de conexión de las bases de datos supone el mayor peligro. Las cadenas de conexión sirven como un conjunto de instrucciones para que un programa encuentre la base de datos. Normalmente, indican al programa dónde está la base de datos, su tipo y cómo acceder a ella.
"Las cadenas de conexión a bases de datos expuestas pueden explotarse de varias maneras. Por ejemplo, los atacantes podrían utilizar los datos filtrados para conectarse al recurso sin permiso y proceder a leer, copiar, modificar o eliminar los datos almacenados dentro de ese recurso", dijo el equipo.
Medidas de seguridad de 3CX
3CX fue víctima recientemente de un ataque en cascada a la cadena de suministro. Los investigadores de la empresa de ciberseguridad Mandiant concluyeron que los atacantes distribuyeron primero malware a través de software de Trading Technologies, que luego afectó al software de 3CX.
Aunque la empresa tuvo que evaluar su postura de seguridad, las instancias expuestas de Kibana y Elasticsearch pasaron desapercibidas. Según el equipo, los datos expuestos eran accesibles desde el 30 de marzo de 2022, meses antes de que se produjera el ataque a la cadena de suministro.
Curiosamente, después de que 3CX lidiara con el ataque en cascada a la cadena de suministro, publicó un plan de acción de seguridad de siete pasos que analizaba medidas cruciales para evitar filtraciones similares, como la necesidad de reforzar la seguridad de su red, realizar pruebas de penetración y crear un nuevo departamento para operaciones de red y seguridad.
"Aunque la adopción de estas medidas contribuiría a mejorar la seguridad, todavía no son eficaces o no se han seguido a fondo, lo que deja a la empresa en una situación vulnerable", afirma el equipo.
Un proceso de divulgación rocambolesco
Después de que el equipo informara de sus hallazgos a 3CX, la empresa explicó que un proveedor externo alojaba y gestionaba las instancias con fugas. 3CX informó al proveedor externo, que se puso en contacto con el equipo diciendo que no podía confirmar si era el propietario de las instancias expuestas.
Varios días después, el equipo se dio cuenta de que alguien había configurado la autenticación en las instancias anteriormente expuestas. El equipo procedió a informar al proveedor externo de 3CX, que reveló que había otra parte implicada.
"El tercero averiguó que las instancias expuestas pertenecían a otro tercero, uno que facilitaba la conexión entre las máquinas 3CX y su plataforma de Gestión de Relaciones con Clientes. Resultó que el segundo proveedor externo configuró la autenticación en las instancias ahora cerradas", dijeron los investigadores.
El equipo cree que si los dos proveedores externos no están asociados, 3CX debería haber informado primero al propietario real de las instancias expuestas. El problema se resolvió en menos de una semana a pesar de las idas y venidas entre los proveedores externos.
Fuente: somoslibres
