Gần đây, 3CX – một công ty dẫn đầu toàn cầu về truyền thông doanh nghiệp thông qua VoIP, chuyên cung cấp các dịch vụ như cuộc gọi thoại, cuộc gọi nhóm, nhắn tin, email, fax,… đã đưa ra một cảnh báo nghiêm trọng đến khách hàng của mình, nhấn mạnh lỗ hổng bảo mật quan trọng có thể đe dọa đến một số lượng lớn dữ liệu nhạy cảm.
Lỗ hổng bảo mật với mã định danh CVE-2023-49954, đây là một lỗi SQL Injection được phát hiện trong thành phần tích hợp CRM của 3CX. SQL Injection, một lỗ hổng bảo mật web phổ biến nhưng chứa đựng rất nhiều nguy hiểm, cho phép tin tặc có thể can thiệp vào các truy vấn mà ứng dụng thực hiện đối với cơ sở dữ liệu của mình. Điều này có thể dẫn đến việc truy cập trái phép vào cơ sở dữ liệu nói chung cũng như các dữ liệu nhạy cảm nói riêng. Trong các trường hợp nghiêm trọng có thể dẫn đến việc toàn bộ cơ sở dữ liệu bị chiếm quyền kiểm soát.
Lỗ hổng này nhắm vào các mục tiêu cụ thể bao gồm các mẫu tích hợp CRM do 3CX cung cấp để kết nối với các cơ sở dữ liệu khác nhau như MongoDB, MsSQL, MySQL và PostgreSQL. Trong các mẫu tích hợp mà 3CX cung cấp, tại các placeholders như [FirstName], [SearchText] và [Email], việc dữ liệu đầu vào không được lọc cũng như kiểm tra đầy đủ đã dẫn đến lỗ hổng nghiêm trọng. Sự thiếu sót này đã mở ra điểm đầu vào cho các cuộc tấn công SQL injection, cho phép kẻ tấn công thực thi các câu lệnh truy vấn cơ sở dữ liệu và có thể truy cập hoặc phá hủy các dữ liệu quan trọng.
Lỗ hổng CVE-2023-49954 gây ảnh hưởng đến các phiên bản 18 và 20 của phần mềm 3CX VoIP. Nhưng đến thời điểm hiện tại vẫn chưa có bản cập nhật nào để khắc phục lỗ hổng này.
Giám đốc An ninh Thông tin của công ty Pierre Jourdan nhấn mạnh: giải pháp được đưa ra trong lúc này là tắt tạm thời tích hợp CRM hay vô hiệu hóa tích hợp cơ sở dữ liệu.
Theo Jourdan, khoảng 0,25% trong tổng số khách hàng của 3CX, bao gồm ít nhất 350,000 công ty, có thể bị ảnh hưởng bởi lỗ hổng này. Đẫn đến ít nhất 875 khách hàng có thể gặp rủi ro.
Để đối phó với mối đe dọa, 3CX khuyến cáo khách hàng tắt ngay lập tức tích hợp cơ sở dữ liệu SQL bao gồm các cơ sở dữ liệu như MongoDB, MsSQL, MySQL và PostgreSQL. Với biện pháp ngăn chặn như vậy, mặc dù sẽ gây khó khăn trong quá trình sử dụng, nhưng nó là quan trọng để bảo vệ người dùng khỏi bất kỳ các cuộc tấn công SQL injection nào có thể xảy ra cho đến khi có một bản vá được phát hành để loại bỏ lỗ hổng.