3CX: Sicherheitslücke in der-Desktop-App – Supply-Chain Attacke in mehreren Phasen

Die kritische Sicherheitslücke in der 3CX Desktop-App ermöglichte es Angreifern, auf Dateien und Daten in der App zuzugreifen und diese zu manipulieren. Hacker haben die Desktop-App-Versionen 18.12.407 & 18.12.416 übernommen, so der 3CX-Unternehmens-Blog.

Zahlreiche Antivirus-Programme haben die betroffenen Versionen als schadhaft markiert und deinstalliert. Die kompromittierte 3CX Desktop-App ist nur die erste Phase einer Supply-Chain Attacke, die über das Laden von ICO Dateien bis hin zu Infostealer-DLLs führt. Durch die Tarnung als legitime Software konnten die Angreifer – vermutlich stammen diese aus Nordkorea – in kurzer Zeit zahlreiche Netzwerke infizieren.

Die VoIP-Software 3CX wurde dabei mit datenstehlenden Trojanern ausgestattet. Darüber hinaus wurden Backdoors installiert – wohl vorrangig bei Crypto-Unternehmen in Brasilien, Deutschland, Italien und Frankreich.

Durch das Senden speziell präparierter Netzwerkpakete konnten die Hacker dann eine Remote-Code-Execution ausführen und eine Backdoor öffnen.

Das BSI empfiehlt: 3CX-Sicherheitslücke dringend absichern

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Bedrohungslage dieser Sicherheitslücke auf Orange eingestuft, der dritten von vier möglichen Gefährdungsstufen.

Mit folgenden Maßnahmen können Sie Ihr System absichern:

Schritt 1: Fragen klären

• Welche Version der 3CX-DesktopApp ist im Einsatz?
• Kann der 3CX Installer vor einem neuen Release entfernt werden?
• Ist es zusätzlich möglich, ein erneutes Laden des Installers an der Firewall zu blockieren?
• Wurde der automatische 3CX Upgrade-Service gestoppt?
• Ist der Zugriff auf Domains, die mit den Angriffen in Verbindung stehen, unterbunden?
• Haben Sie die 3CX Desktop App entfernt und nutzen stattdessen wie von diesem empfohlen die PWA-App des Herstellers?
• Haben Sie Maßnahmen veranlasst, um eine bereits erfolgte Kompromittierung des Netzwerks auszuschließen?
• Wurden zum Beispiel Log-Dateien oder SIEM-Daten analysiert?
• Wurden dabei auch die Angriffsindikatoren bei der Analyse berücksichtigt?
• Weil eine zusätzliche Kompromittierung nicht ausgeschlossen werden kann: Sind in der Organisation weitere Komponenten von 3CX im Einsatz?

akamaicontainer.com
akamaitechcloudservices.com
azuredeploystore.com
azureonlinecloud.com
azureonlinestorage.com
dunamistrd.com
glcloudservice.com
journalide.org
msedgepackageinfo.com
msstorageazure.com
msstorageboxes.com
officeaddons.com
officestoragebox.com
pbxcloudeservices.com
pbxphonenetwork.com
pbxsources.com
qwepoi123098.com
sbmsa.wiki
sourceslabs.com
Soyoungjun.com
visualstudiofactory.com
zacharryblogs.com

3CX Sicherheitslücke: Dauerhafte Schutzmaßnahmen für Unternehmen äußerst ratsam

Über die erwähnten Sofortmaßnahmen bei der 3CX Sicherheitslücke hinaus ist es ist dauerhaft nötig, dass Unternehmen ihre Systeme durch geeignete Sicherheitsmaßnahmen wie Firewalls, Antivirus-Software und regelmäßige Überprüfungen auf Schwachstellen schützen.

Eine gute Option stellt eine Lösung wie Coro dar, die Software-Installationen permanent nach potenziell schadhaften Versionen scannt. Coro ist eine leistungsstarke und modulare Cybersicherheitslösung und unterstützt Unternehmen dabei, ihre Systeme dauerhaft zu schützen. Mit seinen Modulen erkennt und verhindert Coro XDR – eXtended Detection & Response auftretende Bedrohungen in Echtzeit.

FAZIT

Die 3CX-Sicherheitslücke kann schwerwiegende Auswirkungen auf Unternehmen haben, insbesondere wenn die Angreifer bereits auf sensible Daten zugreifen oder Systeme unterwandern konnten. Betroffene Unternehmen sollten daher verschiedene Sofortmaßnahmen ergreifen.

Generell ist es für Unternehmen äußerst ratsam, ihre Systeme auf dem aktuellen Stand zu halten und zusätzlich durch geeignete Sicherheitslösungen zu schützen. Eine XDR-Lösung kann Unternehmen wertvolle Unterstützung beim Erkennen schadhafter Versionen bieten.