Security Week 2314: атака supply chain на компанию 3CX
1 апреля компания 3CX, разработчик корпоративного сервиса для телеконференций, опубликовала сообщение о крайне серьезном инциденте. Злоумышленники взломали систему доставки обновлений клиентского программного обеспечения, в результате чего ряд клиентов компании получили вместе с легитимным ПО вредоносный довесок, подписанный официальным цифровым сертификатом. Это классическая атака на цепочку поставок, один из худших сценариев атаки на бизнес, когда вредоносное ПО непреднамеренно доставляет доверенный поставщик.
В официальном сообщении 3CX практически не приводится никаких деталей, но более подробной информацией об инциденте поделились сразу несколько команд исследователей. Практически все известные на момент публикации данные собраны в обзорной статье издания Ars Technica, краткое описание инцидента также приведено в блоге «Лаборатории Касперского». Если коротко: вряд ли организаторы атаки смогли заразить большое количество клиентов 3CX, но тем, кому не повезло, придется долго разбираться с последствиями.
Читать дальше →
В официальном сообщении 3CX практически не приводится никаких деталей, но более подробной информацией об инциденте поделились сразу несколько команд исследователей. Практически все известные на момент публикации данные собраны в обзорной статье издания Ars Technica, краткое описание инцидента также приведено в блоге «Лаборатории Касперского». Если коротко: вряд ли организаторы атаки смогли заразить большое количество клиентов 3CX, но тем, кому не повезло, придется долго разбираться с последствиями.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
- [Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
- Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис
- Спираль эволюции веб-дизайна: от десктопной версии к адаптиву и обратно к многоликости
- Окружайте, так удобнее промахиваться! Встроенные в Hugging Face проверки ML-моделей против одного сканера
- [Перевод] Проблемы санации SVG
- Яндекс Плюс AdTech: как экосистемные решения обеспечили рост продаж билетов на фильм «Горыныч»
- Молодые дизайнеры против алгоритмов: страх перед ИИ испытывает лишь каждый десятый
- Безопасность приложений на Typescript от А до Я: гайд по защите от очевидных и не очень уязвимостей
- Доля рекламных бюджетов под управлением ИИ в Яндексе достигла 85%