Sicherheitslücke bei 3CX Desktop-Client
Vermutlich hast du in den Medien bereits von dem Sicherheitsvorfall bei 3CX gehört. Doch was ist passiert und wer ist betroffen? Wir versuchen mit diesem Artikel, mehr Klarheit in den Sicherheitsvorfall zu bringen und möchten dir die Möglichkeit geben zu prüfen, ob auch du möglicherweise geschädtigt wurdest.
Eines bereits vorweg: Wenn du als unser Kunde 3CX nutzt und dein Desktop-Client infiziert war, dann haben wir bereits alle von 3CX und dem BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Schritte für dein Unternehmen umgesetzt.
Was ist passiert ?
Am 29.03.2023 wurde 3CX durch den Drittanbieter CrowdStrike auf verdächtige Aktivitäten innerhalb des 3CX-Desktop-Clients aufmerksam gemacht. Als Folge davon wurde Mandiant, renommiertes Cybersicherheitsunternehmen, mit dem Fall beauftragt. Hierdurch soll der Vorfall vollständig aufgearbeitet werden.
Bei dem Angriff auf 3CX ist es den Hackern gelungen, einen DLL-Sideloading-Angriff erfolgreich durchzuführen. Das bedeutet im Fall von 3CX, dass zwei Bibliotheken*, d3dcompiler_47.dll und ffmpeg.dll, geladen wurden, über die Schadsoftware ausgeführt wurde .
Der Angriff ist besonders heimtückisch, da die Tojaner-DLL alle legitimen Funktionen von 3CX beinhaltet, sodass die Anwendung wie gewohnt funktioniert.
Durch die nachgeladene Schadsoftware wurde eine Reihe an Domains kontaktiert, welche auf den ersten Augenschein den Anschein einer validen Domain wahren (z.B. akamaicontainer[.]com, oder azureonlinecloud[.]com). Diese Domains sind inzwischen jedoch offline.
Was bedeutet das für mich ?
Sofern du den 3CX-Desktop-Client nicht benutzt, nichts. Der Vorfall betrifft ausschließlich den 3CX-Desktop-Client in den Versionen 18.11.1213 (Update 6), 18.12.402 (Update 7), 18.12.407 (Update 7), 18.12.416 (Update 7) (ggf. sind weitere Versionen betroffen, dies ist die von 3CX veröffentlichte Liste). Bitte beachte hier, dass sowohl der Windows-, als auch der MAC-Client betroffen sind!
Wenn bei dir eine der betroffenen Versionen installiert war, wurden
mit größter Wahrscheinlichkeit die betroffenen DLL nachgeladen. Du
wurdest also „infiziert“. Hier kommt es drauf an, welchen Virenscanner
du benutzt (manche haben die Schadsoftware erkannt und blockiert, andere
nicht oder erst deutlich später) und wie du weiter vorgegangen bist.
Welche Version nutze ich ?
Am einfachsten findest du die Version über das SysTray Icon (kleines Symbol, welches sich neben der Uhrzeit befindet) von 3CX heraus. Sofern der 3CX-Desktop-Client gestartet ist, genügt hier ein Rechtsklick auf das Symbol. Der nun angezeigte Punkt „Info“ bringt dich zu der aktuell installierten Version.
Alternativ lässt sich die aktuell installierte Version in deinen Windows-Einstellungen einsehen.
Öffne dazu die (Windows-)Einstellungen und wechsel auf den Reiter „Apps“. Dort wählst du den Punk „Apps und Features“. In der nun auftauchenden Liste findest du die Desktop App von 3CX, sowie die dazugehörige Version. Bitte beachte: Wenn eine neuere Version als 18.12.416 (z.B: 18.12.422) sehen, ist es sehr wahrscheinlich, dass bei dir eine kompromitierte Version im Einsatz war, welche nun ein Update erhalten hat. Auch in diesem Fall musst du handeln.
Was soll ich unternehmen?
3CX empfiehlt eindeutig, den auf Elektron basierenden Desktop Client zu deinstallieren (3CX Desktop Client deinstallieren) und die PWA App (Native Web App) zu nutzen. Alternativ kann auch der Webclient genutzt werden. Wir möchten an dieser Stelle darauf hinweisen, dass die Nutzung der PWA App oder des Webclients eine Funktionseinschränkung mit sich bringt. Das bedeutet z.B., dass BLF-Tasten nicht genutzt werden können, oder Integrationen zu CRM/ERP Tools nicht funktionieren. 3CX arbeitet daran, diese Funktionen dort einzubauen (3CX Zukunft der PWA). Als weitere Alternative nennt 3CX die Windows Legacy App.
Sollte bei dir eine der betroffenen Versionen (18.11.1213 (Update 6), 18.12.402 (Update 7), 18.12.407 (Update 7), 18.12.416 (Update 7)) installiert gewesen sein, empfehlen wir einen kompletten Scan des Netzwerkes, inklusive der betroffenen PCs und Server. Hierzu kannst du die speziell angepasst Version von THOR lite nutzen.
Du benötigst Unterstützung bei der Prüfung deines Netzwerkes? Gern kannst du uns über unser Kontaktformular kontaktieren!
Was ändert sich mit Version 18.12.425?
3CX weist weiterhin darauf hin, dass bevorzugt die PWA genutzt werden soll. Unabhängig davon wurde die Version 18.12.425 durch Mandiant geprüft und es wurde kein Hinweis auf eine Kompromittierung gefunden. Auch wir raten weiterhin zur Vorsicht bei Nutzung der Elektron App.
Um die aktuelle Version der 3CX-Desktop-App zu erhalten, muss zunächst das aktuelle Update auf dem 3CX Server installiert werden (nicht notwendig bei 3CX Hosted / StartUP, diese haben das Update automatisch erhalten). Die App kann nach dem Update wie gewohnt über den Webclient installiert werden.
Hinweis: Seitens 3CX und CrowdStrike wird nach wie vor recherchiert und auch die Tragweite des Sicherheitsvorfalles ist noch nicht bekannt. Wir halten dich auf dem Laufenden!
* Eine Bibliothek ist im Bereich der Informatik eine Sammlung von Algorithmen, Quellcode, Dateien, Skripten usw.
