Numéro : AL23-003
Date : 30 mars 2023
Auditoire
La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI œuvrant au sein des organismes avisés.
Objet
Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.
Détails
Le 29 mars 2023, des chercheuses et chercheurs en sécurité ont publié des rapports faisant état d’une nouvelle compromission de la chaîne d’approvisionnement touchant l’application de bureau 3CX (3CXDesktopApp) Note de bas de page 1Note de bas de page 2. Dans ces rapports, ils décrivent les activités malveillantes qu’ils ont observées, lesquelles proviennent de binaires de l’application de bureau 3CX signés de façon légitime.
Les comportements malveillants signalés comprennent le balisage vers une infrastructure malveillante, le déploiement de charges de virus de deuxième étape et des activités de type « mains sur le clavier » Note de bas de page 1.
3CXDesktopApp est offerte sur de multiples plateformes, et les rapports indiquent actuellement que les versions Windows et MacOS de l’application sont touchées Note de bas de page 1Note de bas de page 4. 3CX a notamment précisé que les versions suivantes sont vulnérables Note de bas de page 4 :
- 3CXDesktopApp pour Windows – versions 18.12.407 et 18.12.416;
- 3CXDesktopApp pour Mac – versions 18.11.1213, 18.12.402 et 18.12.416.
Au moment de la rédaction de la présente alerte, la principale conséquence signalée de cette compromission est le vol d’informations liées au système et au navigateur, dont l’historique de navigation Note de bas de page 2. Le Centre pour la cybersécurité est au courant des signalements selon lesquels les justificatifs d’identité conservés dans le navigateur pourraient aussi avoir été volés Note de bas de page 5.
Mesures recommandées
On recommande aux organisations de dresser la liste des systèmes sur lesquels l’application de bureau 3CX a été déployée et de les isoler. Les chercheuses et chercheurs en sécurité ont publié plusieurs indicateurs de compromission (IC) pour aider les responsables de la défense réseau à détecter les activités malveillantes Note de bas de page 1Note de bas de page 2.
3CX recommande de désinstaller l’application client Electron des systèmes et d’utiliser plutôt l’application Web progressive (PWA), un client Web, pour veiller à ce que les mises à jour les plus récentes soient installées Note de bas de page 4.
Le Centre pour la cybersécurité tient à souligner qu’il est possible que l’atténuation de problèmes, de systèmes ou de serveurs individuels ne suffise pas à atténuer une compromission de systèmes orchestrée par des auteures et auteurs de menace hautement qualifiés. Dans de tels cas, selon le degré de sophistication des moyens employés par l’auteure ou auteur de menace, les organisations devraient envisager de mettre en œuvre des mesures d’atténuation plus poussées que le simple retrait ou la simple mise à jour du produit. Le Centre pour la cybersécurité recommande aux clientes et clients touchés de passer en revue son bulletin de cybersécurité conjoint sur les approches techniques à la détection et à l’atténuation des activités malveillantes Note de bas de page 3.
S’ils relèvent des activités semblables aux informations fournies dans la présente alerte, les destinataires sont invités à le signaler par l’entremise de Mon cyberportail, par courriel (contact@cyber.gc.ca) ou par téléphone (1-833-CYBER-88 ou 1-833-292-3788).