На прошлой неделе компания 3CX, специализирующаяся на VoIP-коммуникациях, предупредила клиентов о необходимости отключить интеграцию с базами данных SQL из-за потенциальных рисков, связанных с недавно обнаруженной уязвимостью.
Изначально в опубликованном 3CX сообщении отсутствовала какая-либо конкретная информация о проблеме, но компания советовала клиентам принять превентивные меры, отключив интеграцию с базами данных MongoDB, MsSQL, MySQL и PostgreSQL.
«Если вы используете интеграцию с базами данных SQL, она, зависимости от конфигурации, потенциально подвержена уязвимости, — писал директор по информационной безопасности 3CX Пьер Журдан (Pierre Jourdan). — В качестве меры предосторожности, пока мы работаем над исправлением, пожалуйста, следуйте приведенным ниже инструкциям, чтобы отключить ее».
Также в предупреждении Журдан пояснял, что неназванная проблема затрагивает только версии 18 и 20 VoIP-софта 3CX, и влияет не все интеграции. Также, по его словам, уязвимость затрагивает лишь 0,25% пользовательской базы компании. Так как продуктам 3CX пользуются около 350 000 компаний-клиентов, проблема может касаться как минимум 875 из них.
Как стало известно вчера, 17 декабря 2023 года, речь идет об уязвимости SQL-инъекции, которая была обнаружена независимым ИБ-исследователем Тео Стейном (Theo Stein) в 3CX CRM Integration и теперь отслеживается как CVE-2023-49954.
«При использовании одного из шаблонов Integration (MsSQL, MySQL, PostgreSQL), они могут подвергнуться SQL-инъекции, если сервер 3CX доступен через интернет и перед машиной 3CX нет WAF. В этом случае можно манипулировать исходным SQL-запросом, выполняемым к базе данных, — сообщил генеральный директор 3CX Ник Галеа (Nick Galea). — Затронуты только вышеупомянутые шаблоны для баз данных SQL (MsSQL, MySQL, PostgreSQL), но не другие шаблоны CRM. Клиенты, использующие MongoDB или любой из наших шаблонов интеграции CRM, проблеме не подвержены».
Сообщается, что на днях 3CX планирует выпустить исправление (18.0.9.23, 20.0.0.1494), которое должно устранить проблему. До выхода этого патча клиентам рекомендуется отключить CRM-интеграцию.
Интересно, что по информации издания Bleeping Computer, эта ошибка была обнаружена еще 11 октября текущего года. После этого нашедший ее эксперт и специалисты CERT/CC безуспешно пытались сообщить о проблеме в 3CX в течение двух месяцев, хотя контакт со службой поддержки был установлен в первый же день.