Cảnh báo lỗ hổng nghiêm trọng trong 3CX CRM có thể đe dọa dữ liệu quan trọng

Mới đây, công ty 3CX, có trụ sở tại Mỹ, đã phát đi một cảnh báo khẩn về một lỗ hổng nghiêm trọng trong sản phẩm của họ, có thể dẫn đến truy cập trái phép vào lượng lớn dữ liệu nhạy cảm và thậm chí chiếm quyền kiểm soát hoàn toàn cơ sở dữ liệu. 3CX hiện đang phục vụ hơn 600.000 khách hàng và 12 triệu người dùng mỗi ngày ở 190 quốc gia, bao gồm nhiều thương hiệu lớn như American Express, BMW, Honda, Ikea, Pepsi, và Toyota.

Lỗ hổng có mã định danh CVE-2023-49954, được xác định là lỗi chèn lệnh SQL (SQL Injection) trong phần mềm quản lý mối quan hệ khách hàng (CRM) của 3CX. Theo thống kê, ít nhất 875 khách hàng của 3CX có thể bị ảnh hưởng bởi lỗ hổng này.

Chi tiết về lỗ hổng:

Lỗ hổng đặc biệt nhắm mục tiêu vào các biểu mẫu được sử dụng để tích hợp CRM do 3CX cung cấp nhằm kết nối với các cơ sở dữ liệu như MongoDB, MsSQL, MySQL và PostgreSQL. Những biểu mẫu này sử dụng thuộc tính placeholder (làm rõ thông tin cần nhập) trong các trường dữ liệu như [FirstName], [SearchText], nhưng đã không kiểm tra đầy đủ dữ liệu đầu vào của người dùng, điều này dẫn đến bị tấn công chèn lệnh SQL.

Kết quả là, kẻ tấn công có thể can thiệp vào truy vấn cơ sở dữ liệu, tiềm ẩn nguy cơ truy cập, thậm chí làm hỏng các dữ liệu quan trọng.

Lỗ hổng CVE-2023-49954 ảnh hưởng đến phiên bản 18 và 20 của phần mềm VoIP có tích hợp CRM và hiện vẫn chưa có bản vá nào từ 3CX.

Giải pháp tạm thời và đề xuất cho người dùng:

3CX đã nhấn mạnh rằng giải pháp tạm thời duy nhất là vô hiệu hóa việc tích hợp CRM bằng cách thiết lập giải pháp CRM thành 'None' cho đến khi có bản vá chính thức từ nhà sản xuất.

Kết luận:

Lỗ hổng nghiêm trọng này đặt ra một thách thức lớn đối với hàng nghìn tổ chức và doanh nghiệp sử dụng 3CX CRM. Việc người dùng tuân thủ các biện pháp bảo mật tạm thời và theo dõi thông báo từ 3CX là rất quan trọng để giảm thiểu rủi ro và đảm bảo an toàn cho dữ liệu quan trọng của họ.