xaero1982
Goto Top

ACHTUNG: 3cx App wurde kompromittiert

Moin Kollegen,

die App von 3CX scheint gehackt worden zu sein.

3CX ist ein internationaler Entwickler von VoIP-IPBX-Software. Das 3CX-Telefonsystem ist eine softwarebasierte Telefonanlage, die auf offenen Standards basiert.

Aktuell gibt es noch keine Updates, da wohl das Problem bei 3cx noch nicht klar eingegrenzt wurde.

Weitere Infos findet ihr u.a. hier

https://www.borncity.com/blog/2023/03/30/3cx-desktop-app-in-supply-chain ...
https://www.reddit.com/r/msp/comments/125sxuo/3cx_likely_comprised_take_ ...
https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situation ...
https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-de ...
https://thehackernews.com/2023/03/3cx-desktop-app-targeted-in-supply.htm ...
https://www.3cx.com/community/threads/threat-alerts-from-sentinelone-for ...

Und viele mehr.

App deinstallieren und den Webclient nicht nutzen wird aktuell geraten. Weitere Infos in den Links.

Grüße

Content-ID: 6570589129

Url: https://administrator.de/knowledge/achtung-3cx-app-wurde-kompromittiert-6570589129.html

Ausgedruckt am: 26.12.2024 um 18:12 Uhr

lcer00
lcer00 30.03.2023 aktualisiert um 10:17:20 Uhr
Goto Top
Hallo,

wenn ich das richtig sehe, betrifft das (hoffentlich nur) die PC-Desktop-App 3CXDesktopApp.exe

Von der Android/iOS-App ist wohl (noch?) nicht die Rede.

Grüße

lcer

Edit:

im 3cx Forum gibt es jetzt ein offizielles Thread: https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.1199 ...
Xaero1982
Xaero1982 30.03.2023 um 11:01:53 Uhr
Goto Top
Richtig. Betrifft nur die Windows App. Nicht die anderen.

Beim Webclient ist man sich noch uneins.

Grüße
LordGurke
LordGurke 30.03.2023 um 11:03:00 Uhr
Goto Top
Es sollte sich vielleicht von selbst verstehen, aber zur Sicherheit nochmal der Hinweis:
Es müssen jetzt natürlich die in den Clients verwendeten SIP-Zugangsdaten geändert werden!
Sonst muss man damit rechnen, dass sich ungebetene Clients registrieren und protokollieren, wer wann anruft oder z.B. auch Anrufe umleitet.
Oder dass damit Anrufe ins unbekannte Ausland für richtig viel Geld geführt werden.

Das ist zumindest, was nach den FritzBox-Hacks seinerzeit beobachtet wurde.
Xaero1982
Xaero1982 30.03.2023 um 11:27:25 Uhr
Goto Top
Die MacOS Version könnte auch betroffen sein.
2423392070
2423392070 30.03.2023 um 11:45:53 Uhr
Goto Top
In einem VLAN wäre das nicht passiert?
Vision2015
Vision2015 30.03.2023 um 12:16:19 Uhr
Goto Top
Moin..
Zitat von @2423392070:

In einem VLAN wäre das nicht passiert?
in einem VLAN ohne kommunikation zum Internet / 3CX ware das auch so....
aber wer braucht dann die app.... face-smile

Frank
2423392070
2423392070 30.03.2023 um 12:26:09 Uhr
Goto Top
Das mit der Sicherheit verstehe ich nicht mehr.
beidermachtvongreyscull
beidermachtvongreyscull 30.03.2023 um 12:26:23 Uhr
Goto Top
Supply-Chain-Attacke?

Am besten stellt man Updates von allen Herstellern immer länger zurück.
Xaero1982
Xaero1982 30.03.2023 um 12:28:38 Uhr
Goto Top
Zitat von @2423392070:

In einem VLAN wäre das nicht passiert?

Ist das ernst gemeint? Heute ist noch nicht Freitag.
Xaero1982
Xaero1982 30.03.2023 um 12:29:14 Uhr
Goto Top
Zitat von @beidermachtvongreyscull:

Supply-Chain-Attacke?

Am besten stellt man Updates von allen Herstellern immer länger zurück.

Das passiert bei der 3cx aber automatisch.
maretz
maretz 30.03.2023 um 14:16:23 Uhr
Goto Top
Zitat von @Xaero1982:

Zitat von @2423392070:

In einem VLAN wäre das nicht passiert?

Ist das ernst gemeint? Heute ist noch nicht Freitag.

Er will doch nur nen bisserl rumtrollen....
2423392070
2423392070 30.03.2023 aktualisiert um 17:17:27 Uhr
Goto Top
Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.

Seit Montag hatte das erste Schlangenöl etwas bemerkt...

Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.

So viel zum Donnerstag.
sandronesta
sandronesta 30.03.2023 um 17:11:26 Uhr
Goto Top
Reicht es eigentlich wenn der Antivirus die betroffene ffpmeg.ddl löscht oder dennoch deinstallieren?
Xaero1982
Xaero1982 30.03.2023 um 23:34:17 Uhr
Goto Top
Zitat von @2423392070:

Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.

Seit Montag hatte das erste Schlangenöl etwas bemerkt...

Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.

So viel zum Donnerstag.

Was hat das eine mit dem anderen zu tun? Du kannst 10000 Firewalls und VLANs haben. Wenn du erlaubst, dass die Software sich selbstständig updated, sprich du den Zugang zum Web erlaubst, was nunmal die Regel ist in den meisten Unternehmen, dann wird sich die App die neue Version laden und damit auch den Schadcode.

Also worauf möchtest du hinaus?

@sandronesta: Deinstallieren heißt es aktuell.
Xaero1982
Xaero1982 30.03.2023 um 23:44:06 Uhr
Goto Top
2423392070
2423392070 31.03.2023 um 06:35:59 Uhr
Goto Top
Zitat von @Xaero1982:

Zitat von @2423392070:

Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.

Seit Montag hatte das erste Schlangenöl etwas bemerkt...

Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.

So viel zum Donnerstag.

Was hat das eine mit dem anderen zu tun? Du kannst 10000 Firewalls und VLANs haben. Wenn du erlaubst, dass die Software sich selbstständig updated, sprich du den Zugang zum Web erlaubst, was nunmal die Regel ist in den meisten Unternehmen, dann wird sich die App die neue Version laden und damit auch den Schadcode.

Also worauf möchtest du hinaus?

@sandronesta: Deinstallieren heißt es aktuell.

Weil ein Grundtenor des Forums ist, dass VLANs und Firewalls Sicherheit bringen. Firewalls im Sinne von Ports und und IPs filtern.

Was ich sagen will ist: Seht es war wieder eine HTTPS Kommunikation und diese von einer Software die prinzipbedingt Internetzugriff hat. Niemand hätte seine Voip Software dahingehend verdächtigt oder eingeschränkt.

Grundsätzlich wirft das Ganze aber noch viele andere Fragen auf. Telefontechnik ist gefährlich laut GBU.
Xaero1982
Xaero1982 31.03.2023 um 06:51:57 Uhr
Goto Top
Na sag das doch gleich!face-smile
Ja, es ist im Grunde nichts wirklich sicher.
2423392070
2423392070 31.03.2023 um 06:54:37 Uhr
Goto Top
Oft genug gesagt. Oft genug nicht verstanden.
maretz
maretz 31.03.2023 um 07:39:21 Uhr
Goto Top
Zitat von @2423392070:

Oft genug gesagt. Oft genug nicht verstanden.

Weil erstmal auch so generell völlig falsch. Denn natürlich bringen sowohl Firewalls als auch VLANs schonmal erstmal eine gewisse Sicherheit. Muss man aber eben den Kopf für nutzen um das zu verstehen.

Klar - wenn ich ne Firewall auf "any any" stelle oder einfach mal alles laufen lasse bring es nix. Dann kann ich aber auch mit derselben Begründung behaupten es hilft nix wenn man normalerweise ohne Admin rechte arbeitet. Auch Passwörter, Smartcards,... helfen nicht. Verschlüsselung von daten? Völliger Humbug. Wenn der VORM Rechner eh nur bei allem auf "Is ok, mach was du willst" klickt und bei Bedarf auch das Admin-PW eingibt ist NICHTS sicher... Selbst ne vollständig verschlüsselte Festplatte mit nem 500 Zeichen Passwort is sinnlos wenns mitm Aufkleber unterm Laptop geklebt ist.

Eine Firewall ist - genauso wie ein VLAN - eben nicht etwas was man einmal anklickt und nu is für alle Zeiten alles Sicher. Es BRINGT aber eben Sicherheit wenn man auch schaut was da passiert. Und ja - natürlich gibt es weiterhin auch Lücken. Spätestens wenn ein Angreifer eben Zugriff aufs Repository des Anbieters hat wird es wohl auch schwer das noch zu beheben. Was würdest du denn empfehlen? Die Software einfach nur einmal installieren und auf immer und ewig laufen zu lassen? Blöd wenn das Update des Anbieter eben ein Security-Fix hat und man den nich installiert. Wenn man aber nen Update installiert riskiert man eben auch immer das es "schlechter" wird als vorher. Und klar - natürlich kann man das ja ganz Lehrbuchmässig auf einem Rechner machen, da X Wochen laufen lassen und erst dann ausrollen. In der Zwischenzeit ist dann halt 3/4 des Netzes zB. durch nen 0-Day gefährdet... Und natürlich hat auch jede Firma sowohl das Personal als auch die Möglichkeiten sowas überhaupt durchzuführen..

Aber ich denke mal du wirst es eh nicht verstehen... Leider in der IT nicht ganz unüblich: man sieht SEINEN Weg als das einzig richtige an und alle anderen haben eh keine Ahnung...
Vision2015
Vision2015 31.03.2023 um 07:57:22 Uhr
Goto Top
Moin...
nun, eure Diskusion über VLAN und Firewall ist ja gut und schön, aber völlig belanglos was das Thema angeht!
Interessant wäre wirklich, ob nun Malware nachgeladen wurde, oder nicht!

Frank
lcer00
lcer00 31.03.2023 aktualisiert um 08:11:59 Uhr
Goto Top
Hallo,

es scheint jetzt eine aktualisierte Verion der Desktop-Apps für Win & Mac zu geben. Jedenfalls bietet die 3cx mir diese unter Updates an. siehe auch https://www.3cx.com/blog/news/desktopapp-security-alert-updates/

Ausserdem schreibt 3cx, dass auch die Zertifikat für die APP getauscht worden: https://www.3cx.com/blog/news/desktopapp-security-alert/

Grüße

lcer
2423392070
2423392070 31.03.2023 aktualisiert um 08:16:21 Uhr
Goto Top
Zitat von @maretz:

Zitat von @2423392070:

Oft genug gesagt. Oft genug nicht verstanden.

>>Was würdest du denn empfehlen?


Kein Hardware oder Software ohne SBC voipen lassen? Voip in Software und Hardware ist wie MFC ein perfekter Angriffsvektor.
Was meinst Du warum die USA diesen ernormen Aufwand betreiben um das telefonieren der Öffentlichen abzusichern? Weil es hochgefährlich ist und ein unendliches Tooling für den Cracker bietet.


Aber ich denke mal du wirst es eh nicht verstehen... Leider in der IT nicht ganz unüblich: man sieht SEINEN Weg als das einzig richtige an und alle anderen haben eh keine Ahnung...

Anscheinend haben es zusätzlich Tausende andere auch nicht verstanden und hatten nicht das Glück sich VLANs und Firewalls hier aufschwatzen zu lassen.
maretz
maretz 31.03.2023 um 08:49:13 Uhr
Goto Top
super... und morgen hauts dir dann dieselben Sachen einfach beim Browser-Update oder sonstwo rein... Das Problem ist doch: Wenn ich zugriff auf Signaturen o. Repositorys vom Hersteller bekomme.

Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
lcer00
lcer00 31.03.2023 aktualisiert um 09:06:21 Uhr
Goto Top
Hallo,
Zitat von @maretz:

Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
na ja. Zunächst ist die Zielgruppe genau die selbe: Wer eine 3cx betreibt, fragt auch schon mal hier im Forum nach Firewalls und VLAN. Und die Diskussionen gehen dann leider immer um lauter technische Details, der primäre Angriffsvektor wird aus den Augen verloren.

In diesem Thread geht es im einen konkreten Angriffsvorgang und Gegenmaßnahmen dazu. Dazu gehört 1.) das Beseitigen der konkreten Bedrohung und 2.) das Überprüfen des Sicherheitskonzepts auf Robustheit gegen ähnliche Angriffe. Und bei diesem 2. Punkt sehen dürften die meisten von uns sehen, dass sie kalt erwischt worden, trotz VLAN & Firewall. Diese Diskussion ist also keinesfalls OFF-Topic.

Grüße

lcer
2423392070
2423392070 31.03.2023 um 13:43:58 Uhr
Goto Top
Zitat von @lcer00:

Hallo,
Zitat von @maretz:

Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
na ja. Zunächst ist die Zielgruppe genau die selbe: Wer eine 3cx betreibt, fragt auch schon mal hier im Forum nach Firewalls und VLAN. Und die Diskussionen gehen dann leider immer um lauter technische Details, der primäre Angriffsvektor wird aus den Augen verloren.

In diesem Thread geht es im einen konkreten Angriffsvorgang und Gegenmaßnahmen dazu. Dazu gehört 1.) das Beseitigen der konkreten Bedrohung und 2.) das Überprüfen des Sicherheitskonzepts auf Robustheit gegen ähnliche Angriffe. Und bei diesem 2. Punkt sehen dürften die meisten von uns sehen, dass sie kalt erwischt worden, trotz VLAN & Firewall. Diese Diskussion ist also keinesfalls OFF-Topic.

Grüße

lcer

Wenigstens Du hast es verstanden. ☝️
Fenris14
Fenris14 31.03.2023 um 16:11:58 Uhr
Goto Top
Das eigentliche Problem kam mit Update 18 Final 7 auf. Da wurden zwei neue Versionen der Windows App mitgeliefert und diese sind auf jeden Fall betroffen. Also deinstallieren. Generell empfiehlt aber 3cx alle vorherigen Versionen ebenfalls zu deinstallieren, also die Electron mit an Bord haben.

Die Legacy-Version 16 ist übrigens laut Aussage nicht betroffen. PWA-Integration für Chrome und Edge gelten derzeit auch noch als sicher.

Hier noch ein Artikel von heise mit den unten angehängten Domains und den Hashwerten für die Files:

https://www.heise.de/news/BSI-Alarmstufe-Orange-wegen-Trojaner-in-3CX-So ...


Meine persönliche Meinung: Als Anwender kann man gegen solche Angriffe fast gar nichts machen, wenn man es bemerkt ist es eigentlich schon zu spät. Der Hersteller ist hier in der Pflicht seine Software ordentlich zu pflegen und offensichtlich wurde hier dieser nicht nachgekommen.

Firewall und VLANs hätten in diesem Fall nichts gebracht, maximal eingedämmt. Ein IDS oder IDP, wenn man Sophos vertrauen mag, hätte zumindest mal die ungewöhnlichen Aktivitäten bemerkt.
Vision2015
Vision2015 02.04.2023 um 10:36:43 Uhr
Goto Top
Moin...

In Zusammenarbeit mit Nextron wurde ein Scanner veröffentlicht der genutzt werden kann um die Systeme nach Spuren der Lazarus Malware zu scannen. Um den Scanner zu erhalten müssen Sie sich im 3CX Forum mit einem Account anmelden:

Forensic Scanner Nextron THOR-Entpacken aller zip Dateien innerhalb des Archives in den gleichen Ordner.
Wechseln Sie per Kommandozeile in den Ordner und führen als Administrator folgende Befehle aus:
thor-lite-util.exe upgrade
und
thor64-lite.exe --nolowprio --lookback 150 --global-lookback
Nachdem der Scan abgeschlossen ist, erhalten Sie eine Report Datei
viel Glück

Frank