27
ACHTUNG: 3cx App wurde kompromittiert
Moin Kollegen,
die App von 3CX scheint gehackt worden zu sein.
3CX ist ein internationaler Entwickler von VoIP-IPBX-Software. Das 3CX-Telefonsystem ist eine softwarebasierte Telefonanlage, die auf offenen Standards basiert.
Aktuell gibt es noch keine Updates, da wohl das Problem bei 3cx noch nicht klar eingegrenzt wurde.
Weitere Infos findet ihr u.a. hier
https://www.borncity.com/blog/2023/03/30/3cx-desktop-app-in-supply-chain ...
https://www.reddit.com/r/msp/comments/125sxuo/3cx_likely_comprised_take_ ...
https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situation ...
https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-de ...
https://thehackernews.com/2023/03/3cx-desktop-app-targeted-in-supply.htm ...
https://www.3cx.com/community/threads/threat-alerts-from-sentinelone-for ...
Und viele mehr.
App deinstallieren und den Webclient nicht nutzen wird aktuell geraten. Weitere Infos in den Links.
Grüße
die App von 3CX scheint gehackt worden zu sein.
3CX ist ein internationaler Entwickler von VoIP-IPBX-Software. Das 3CX-Telefonsystem ist eine softwarebasierte Telefonanlage, die auf offenen Standards basiert.
Aktuell gibt es noch keine Updates, da wohl das Problem bei 3cx noch nicht klar eingegrenzt wurde.
Weitere Infos findet ihr u.a. hier
https://www.borncity.com/blog/2023/03/30/3cx-desktop-app-in-supply-chain ...
https://www.reddit.com/r/msp/comments/125sxuo/3cx_likely_comprised_take_ ...
https://www.reddit.com/r/crowdstrike/comments/125r3uu/20230329_situation ...
https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-de ...
https://thehackernews.com/2023/03/3cx-desktop-app-targeted-in-supply.htm ...
https://www.3cx.com/community/threads/threat-alerts-from-sentinelone-for ...
Und viele mehr.
App deinstallieren und den Webclient nicht nutzen wird aktuell geraten. Weitere Infos in den Links.
Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 6570589129
Url: https://administrator.de/contentid/6570589129
Printed on: April 28, 2024 at 10:04 o'clock
27 Comments
Latest comment
Hallo,
wenn ich das richtig sehe, betrifft das (hoffentlich nur) die PC-Desktop-App 3CXDesktopApp.exe
Von der Android/iOS-App ist wohl (noch?) nicht die Rede.
Grüße
lcer
Edit:
im 3cx Forum gibt es jetzt ein offizielles Thread: https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.1199 ...
wenn ich das richtig sehe, betrifft das (hoffentlich nur) die PC-Desktop-App 3CXDesktopApp.exe
Von der Android/iOS-App ist wohl (noch?) nicht die Rede.
Grüße
lcer
Edit:
im 3cx Forum gibt es jetzt ein offizielles Thread: https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.1199 ...
Richtig. Betrifft nur die Windows App. Nicht die anderen.
Beim Webclient ist man sich noch uneins.
Grüße
Beim Webclient ist man sich noch uneins.
Grüße
Es sollte sich vielleicht von selbst verstehen, aber zur Sicherheit nochmal der Hinweis:
Es müssen jetzt natürlich die in den Clients verwendeten SIP-Zugangsdaten geändert werden!
Sonst muss man damit rechnen, dass sich ungebetene Clients registrieren und protokollieren, wer wann anruft oder z.B. auch Anrufe umleitet.
Oder dass damit Anrufe ins unbekannte Ausland für richtig viel Geld geführt werden.
Das ist zumindest, was nach den FritzBox-Hacks seinerzeit beobachtet wurde.
Es müssen jetzt natürlich die in den Clients verwendeten SIP-Zugangsdaten geändert werden!
Sonst muss man damit rechnen, dass sich ungebetene Clients registrieren und protokollieren, wer wann anruft oder z.B. auch Anrufe umleitet.
Oder dass damit Anrufe ins unbekannte Ausland für richtig viel Geld geführt werden.
Das ist zumindest, was nach den FritzBox-Hacks seinerzeit beobachtet wurde.
2
Die MacOS Version könnte auch betroffen sein.
In einem VLAN wäre das nicht passiert?
1
Moin..
aber wer braucht dann die app....
Frank
Zitat von @2423392070:
In einem VLAN wäre das nicht passiert?
in einem VLAN ohne kommunikation zum Internet / 3CX ware das auch so....In einem VLAN wäre das nicht passiert?
aber wer braucht dann die app....
Frank
2
Das mit der Sicherheit verstehe ich nicht mehr.
Supply-Chain-Attacke?
Am besten stellt man Updates von allen Herstellern immer länger zurück.
Am besten stellt man Updates von allen Herstellern immer länger zurück.
Zitat von @2423392070:
In einem VLAN wäre das nicht passiert?
In einem VLAN wäre das nicht passiert?
Ist das ernst gemeint? Heute ist noch nicht Freitag.
2Zitat von @beidermachtvongreyscull:
Supply-Chain-Attacke?
Am besten stellt man Updates von allen Herstellern immer länger zurück.
Supply-Chain-Attacke?
Am besten stellt man Updates von allen Herstellern immer länger zurück.
Das passiert bei der 3cx aber automatisch.
Zitat von @Xaero1982:
Ist das ernst gemeint? Heute ist noch nicht Freitag.
Zitat von @2423392070:
In einem VLAN wäre das nicht passiert?
In einem VLAN wäre das nicht passiert?
Ist das ernst gemeint? Heute ist noch nicht Freitag.
Er will doch nur nen bisserl rumtrollen....
Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.
Seit Montag hatte das erste Schlangenöl etwas bemerkt...
Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.
So viel zum Donnerstag.
Seit Montag hatte das erste Schlangenöl etwas bemerkt...
Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.
So viel zum Donnerstag.
Reicht es eigentlich wenn der Antivirus die betroffene ffpmeg.ddl löscht oder dennoch deinstallieren?
Zitat von @2423392070:
Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.
Seit Montag hatte das erste Schlangenöl etwas bemerkt...
Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.
So viel zum Donnerstag.
Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.
Seit Montag hatte das erste Schlangenöl etwas bemerkt...
Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.
So viel zum Donnerstag.
Was hat das eine mit dem anderen zu tun? Du kannst 10000 Firewalls und VLANs haben. Wenn du erlaubst, dass die Software sich selbstständig updated, sprich du den Zugang zum Web erlaubst, was nunmal die Regel ist in den meisten Unternehmen, dann wird sich die App die neue Version laden und damit auch den Schadcode.
Also worauf möchtest du hinaus?
@sandronesta: Deinstallieren heißt es aktuell.
Zitat von @Xaero1982:
Was hat das eine mit dem anderen zu tun? Du kannst 10000 Firewalls und VLANs haben. Wenn du erlaubst, dass die Software sich selbstständig updated, sprich du den Zugang zum Web erlaubst, was nunmal die Regel ist in den meisten Unternehmen, dann wird sich die App die neue Version laden und damit auch den Schadcode.
Also worauf möchtest du hinaus?
@sandronesta: Deinstallieren heißt es aktuell.
Zitat von @2423392070:
Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.
Seit Montag hatte das erste Schlangenöl etwas bemerkt...
Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.
So viel zum Donnerstag.
Ich will nicht rumtrollen, sondern 100 von 100 Betroffene hatten Firewalls und VLANs.
Seit Montag hatte das erste Schlangenöl etwas bemerkt...
Ich verstehe es leider nicht. Wo ist das Problem, wenn per HTTPS etwas geladen wird? Kann doch kaum einer reinsehen.
So viel zum Donnerstag.
Was hat das eine mit dem anderen zu tun? Du kannst 10000 Firewalls und VLANs haben. Wenn du erlaubst, dass die Software sich selbstständig updated, sprich du den Zugang zum Web erlaubst, was nunmal die Regel ist in den meisten Unternehmen, dann wird sich die App die neue Version laden und damit auch den Schadcode.
Also worauf möchtest du hinaus?
@sandronesta: Deinstallieren heißt es aktuell.
Weil ein Grundtenor des Forums ist, dass VLANs und Firewalls Sicherheit bringen. Firewalls im Sinne von Ports und und IPs filtern.
Was ich sagen will ist: Seht es war wieder eine HTTPS Kommunikation und diese von einer Software die prinzipbedingt Internetzugriff hat. Niemand hätte seine Voip Software dahingehend verdächtigt oder eingeschränkt.
Grundsätzlich wirft das Ganze aber noch viele andere Fragen auf. Telefontechnik ist gefährlich laut GBU.
Na sag das doch gleich!
Ja, es ist im Grunde nichts wirklich sicher.
Ja, es ist im Grunde nichts wirklich sicher.
Oft genug gesagt. Oft genug nicht verstanden.
Zitat von @2423392070:
Oft genug gesagt. Oft genug nicht verstanden.
Oft genug gesagt. Oft genug nicht verstanden.
Weil erstmal auch so generell völlig falsch. Denn natürlich bringen sowohl Firewalls als auch VLANs schonmal erstmal eine gewisse Sicherheit. Muss man aber eben den Kopf für nutzen um das zu verstehen.
Klar - wenn ich ne Firewall auf "any any" stelle oder einfach mal alles laufen lasse bring es nix. Dann kann ich aber auch mit derselben Begründung behaupten es hilft nix wenn man normalerweise ohne Admin rechte arbeitet. Auch Passwörter, Smartcards,... helfen nicht. Verschlüsselung von daten? Völliger Humbug. Wenn der VORM Rechner eh nur bei allem auf "Is ok, mach was du willst" klickt und bei Bedarf auch das Admin-PW eingibt ist NICHTS sicher... Selbst ne vollständig verschlüsselte Festplatte mit nem 500 Zeichen Passwort is sinnlos wenns mitm Aufkleber unterm Laptop geklebt ist.
Eine Firewall ist - genauso wie ein VLAN - eben nicht etwas was man einmal anklickt und nu is für alle Zeiten alles Sicher. Es BRINGT aber eben Sicherheit wenn man auch schaut was da passiert. Und ja - natürlich gibt es weiterhin auch Lücken. Spätestens wenn ein Angreifer eben Zugriff aufs Repository des Anbieters hat wird es wohl auch schwer das noch zu beheben. Was würdest du denn empfehlen? Die Software einfach nur einmal installieren und auf immer und ewig laufen zu lassen? Blöd wenn das Update des Anbieter eben ein Security-Fix hat und man den nich installiert. Wenn man aber nen Update installiert riskiert man eben auch immer das es "schlechter" wird als vorher. Und klar - natürlich kann man das ja ganz Lehrbuchmässig auf einem Rechner machen, da X Wochen laufen lassen und erst dann ausrollen. In der Zwischenzeit ist dann halt 3/4 des Netzes zB. durch nen 0-Day gefährdet... Und natürlich hat auch jede Firma sowohl das Personal als auch die Möglichkeiten sowas überhaupt durchzuführen..
Aber ich denke mal du wirst es eh nicht verstehen... Leider in der IT nicht ganz unüblich: man sieht SEINEN Weg als das einzig richtige an und alle anderen haben eh keine Ahnung...
Moin...
nun, eure Diskusion über VLAN und Firewall ist ja gut und schön, aber völlig belanglos was das Thema angeht!
Interessant wäre wirklich, ob nun Malware nachgeladen wurde, oder nicht!
Frank
nun, eure Diskusion über VLAN und Firewall ist ja gut und schön, aber völlig belanglos was das Thema angeht!
Interessant wäre wirklich, ob nun Malware nachgeladen wurde, oder nicht!
Frank
Hallo,
es scheint jetzt eine aktualisierte Verion der Desktop-Apps für Win & Mac zu geben. Jedenfalls bietet die 3cx mir diese unter Updates an. siehe auch https://www.3cx.com/blog/news/desktopapp-security-alert-updates/
Ausserdem schreibt 3cx, dass auch die Zertifikat für die APP getauscht worden: https://www.3cx.com/blog/news/desktopapp-security-alert/
Grüße
lcer
es scheint jetzt eine aktualisierte Verion der Desktop-Apps für Win & Mac zu geben. Jedenfalls bietet die 3cx mir diese unter Updates an. siehe auch https://www.3cx.com/blog/news/desktopapp-security-alert-updates/
Ausserdem schreibt 3cx, dass auch die Zertifikat für die APP getauscht worden: https://www.3cx.com/blog/news/desktopapp-security-alert/
Grüße
lcer
>>Was würdest du denn empfehlen?
Kein Hardware oder Software ohne SBC voipen lassen? Voip in Software und Hardware ist wie MFC ein perfekter Angriffsvektor.
Was meinst Du warum die USA diesen ernormen Aufwand betreiben um das telefonieren der Öffentlichen abzusichern? Weil es hochgefährlich ist und ein unendliches Tooling für den Cracker bietet.
Aber ich denke mal du wirst es eh nicht verstehen... Leider in der IT nicht ganz unüblich: man sieht SEINEN Weg als das einzig richtige an und alle anderen haben eh keine Ahnung...
Anscheinend haben es zusätzlich Tausende andere auch nicht verstanden und hatten nicht das Glück sich VLANs und Firewalls hier aufschwatzen zu lassen.
Kein Hardware oder Software ohne SBC voipen lassen? Voip in Software und Hardware ist wie MFC ein perfekter Angriffsvektor.
Was meinst Du warum die USA diesen ernormen Aufwand betreiben um das telefonieren der Öffentlichen abzusichern? Weil es hochgefährlich ist und ein unendliches Tooling für den Cracker bietet.
Aber ich denke mal du wirst es eh nicht verstehen... Leider in der IT nicht ganz unüblich: man sieht SEINEN Weg als das einzig richtige an und alle anderen haben eh keine Ahnung...
Anscheinend haben es zusätzlich Tausende andere auch nicht verstanden und hatten nicht das Glück sich VLANs und Firewalls hier aufschwatzen zu lassen.
super... und morgen hauts dir dann dieselben Sachen einfach beim Browser-Update oder sonstwo rein... Das Problem ist doch: Wenn ich zugriff auf Signaturen o. Repositorys vom Hersteller bekomme.
Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
Hallo,
In diesem Thread geht es im einen konkreten Angriffsvorgang und Gegenmaßnahmen dazu. Dazu gehört 1.) das Beseitigen der konkreten Bedrohung und 2.) das Überprüfen des Sicherheitskonzepts auf Robustheit gegen ähnliche Angriffe. Und bei diesem 2. Punkt sehen dürften die meisten von uns sehen, dass sie kalt erwischt worden, trotz VLAN & Firewall. Diese Diskussion ist also keinesfalls OFF-Topic.
Grüße
lcer
Zitat von @maretz:
Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
na ja. Zunächst ist die Zielgruppe genau die selbe: Wer eine 3cx betreibt, fragt auch schon mal hier im Forum nach Firewalls und VLAN. Und die Diskussionen gehen dann leider immer um lauter technische Details, der primäre Angriffsvektor wird aus den Augen verloren.Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
In diesem Thread geht es im einen konkreten Angriffsvorgang und Gegenmaßnahmen dazu. Dazu gehört 1.) das Beseitigen der konkreten Bedrohung und 2.) das Überprüfen des Sicherheitskonzepts auf Robustheit gegen ähnliche Angriffe. Und bei diesem 2. Punkt sehen dürften die meisten von uns sehen, dass sie kalt erwischt worden, trotz VLAN & Firewall. Diese Diskussion ist also keinesfalls OFF-Topic.
Grüße
lcer
1Zitat von @lcer00:
Hallo,
In diesem Thread geht es im einen konkreten Angriffsvorgang und Gegenmaßnahmen dazu. Dazu gehört 1.) das Beseitigen der konkreten Bedrohung und 2.) das Überprüfen des Sicherheitskonzepts auf Robustheit gegen ähnliche Angriffe. Und bei diesem 2. Punkt sehen dürften die meisten von uns sehen, dass sie kalt erwischt worden, trotz VLAN & Firewall. Diese Diskussion ist also keinesfalls OFF-Topic.
Grüße
lcer
Hallo,
Zitat von @maretz:
Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
na ja. Zunächst ist die Zielgruppe genau die selbe: Wer eine 3cx betreibt, fragt auch schon mal hier im Forum nach Firewalls und VLAN. Und die Diskussionen gehen dann leider immer um lauter technische Details, der primäre Angriffsvektor wird aus den Augen verloren.Du merkst nicht das deine VLAN u. Firewall hier einfach mitm Thema überhaupt nix zu tun haben, oder? Naja, hauptsache mal einen raushauen...
In diesem Thread geht es im einen konkreten Angriffsvorgang und Gegenmaßnahmen dazu. Dazu gehört 1.) das Beseitigen der konkreten Bedrohung und 2.) das Überprüfen des Sicherheitskonzepts auf Robustheit gegen ähnliche Angriffe. Und bei diesem 2. Punkt sehen dürften die meisten von uns sehen, dass sie kalt erwischt worden, trotz VLAN & Firewall. Diese Diskussion ist also keinesfalls OFF-Topic.
Grüße
lcer
Wenigstens Du hast es verstanden. ☝️
Das eigentliche Problem kam mit Update 18 Final 7 auf. Da wurden zwei neue Versionen der Windows App mitgeliefert und diese sind auf jeden Fall betroffen. Also deinstallieren. Generell empfiehlt aber 3cx alle vorherigen Versionen ebenfalls zu deinstallieren, also die Electron mit an Bord haben.
Die Legacy-Version 16 ist übrigens laut Aussage nicht betroffen. PWA-Integration für Chrome und Edge gelten derzeit auch noch als sicher.
Hier noch ein Artikel von heise mit den unten angehängten Domains und den Hashwerten für die Files:
https://www.heise.de/news/BSI-Alarmstufe-Orange-wegen-Trojaner-in-3CX-So ...
Meine persönliche Meinung: Als Anwender kann man gegen solche Angriffe fast gar nichts machen, wenn man es bemerkt ist es eigentlich schon zu spät. Der Hersteller ist hier in der Pflicht seine Software ordentlich zu pflegen und offensichtlich wurde hier dieser nicht nachgekommen.
Firewall und VLANs hätten in diesem Fall nichts gebracht, maximal eingedämmt. Ein IDS oder IDP, wenn man Sophos vertrauen mag, hätte zumindest mal die ungewöhnlichen Aktivitäten bemerkt.
Die Legacy-Version 16 ist übrigens laut Aussage nicht betroffen. PWA-Integration für Chrome und Edge gelten derzeit auch noch als sicher.
Hier noch ein Artikel von heise mit den unten angehängten Domains und den Hashwerten für die Files:
https://www.heise.de/news/BSI-Alarmstufe-Orange-wegen-Trojaner-in-3CX-So ...
Meine persönliche Meinung: Als Anwender kann man gegen solche Angriffe fast gar nichts machen, wenn man es bemerkt ist es eigentlich schon zu spät. Der Hersteller ist hier in der Pflicht seine Software ordentlich zu pflegen und offensichtlich wurde hier dieser nicht nachgekommen.
Firewall und VLANs hätten in diesem Fall nichts gebracht, maximal eingedämmt. Ein IDS oder IDP, wenn man Sophos vertrauen mag, hätte zumindest mal die ungewöhnlichen Aktivitäten bemerkt.
Moin...
In Zusammenarbeit mit Nextron wurde ein Scanner veröffentlicht der genutzt werden kann um die Systeme nach Spuren der Lazarus Malware zu scannen. Um den Scanner zu erhalten müssen Sie sich im 3CX Forum mit einem Account anmelden:
Forensic Scanner Nextron THOR-Entpacken aller zip Dateien innerhalb des Archives in den gleichen Ordner.
Wechseln Sie per Kommandozeile in den Ordner und führen als Administrator folgende Befehle aus:
und
Nachdem der Scan abgeschlossen ist, erhalten Sie eine Report Datei
viel Glück
Frank
In Zusammenarbeit mit Nextron wurde ein Scanner veröffentlicht der genutzt werden kann um die Systeme nach Spuren der Lazarus Malware zu scannen. Um den Scanner zu erhalten müssen Sie sich im 3CX Forum mit einem Account anmelden:
Forensic Scanner Nextron THOR-Entpacken aller zip Dateien innerhalb des Archives in den gleichen Ordner.
Wechseln Sie per Kommandozeile in den Ordner und führen als Administrator folgende Befehle aus:
thor-lite-util.exe upgradethor64-lite.exe --nolowprio --lookback 150 --global-lookbackviel Glück
Frank
1
