ACHTUNG: Sicherheitswarnung bei der 3CX-Desktop-App – Versionsnummern 18.12.407 & 18.12.416

31. März 2023 Manuel Seidel Comment

Sicherheitswarnung: Die 3CX-Desktop-App weist ein Sicherheitsproblem auf.

CVE-2023-29059: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29059

Betroffen sind folgende Versionen der 3CX-Desktop-App:
Windows: 18.12.407 + 18.12.416
MacOS: 18.11.213, 18.12.402, 18.12.407 + 18.12.416

Niedrigere Versionsnummern sind davon nicht betroffen. 3CX empfiehlt die betroffene 3CX-Desktop-App zu deinstallieren und bis auf weiteres den 3CX-Webclient zu benutzen bis die Sicherheitslücke geschlossen wird. Der Vorteil des Webclients ist, dass keine Installation oder Aktualisierung erforderlich ist und die Chrome-Web-Security automatisch angewendet wird.

Offenbar handelt es sich um einen gezielten Angriff eines Advanced-Persistent-Threats. Anti-Virus-Anbieter haben die ausführbare Datei 3CXDesktopApp.exe markiert und in vielen Fällen deinstalliert. Die Domains, die von dieser kompromittierten Bibliothek kontaktiert wurden, sind bereits gemeldet worden, wobei die meisten bereits über Nacht abgeschaltet wurden. Ein Github-Repository, in dem diese Domains aufgeführt waren, wurde ebenfalls abgeschaltet und damit unschädlich gemacht.

Weitere Informationen finden Sie im >> Blogbeitrag der Ritter Technologie GmbH oder auf dem >> Twitter-Kanal von 3CX.

_____________________________________________________________________________________________________

WatchGuard EPDR/AD360 bietet umfassenden Schutz

Mit WatchGuard EPDR/AD360 können Sie in der Konsole mit dem Feature “Program blocking” in diesem Fall die 3CX-Desktop-App deaktivieren, so dass die Applikation nicht genutzt werden kann. Dieses Feature lässt sich einfach einmalig zentral setzen und greift anschließend sofort im gesamten Unternehmen auf allen Endpoints auf denen ein EPDR läuft. Der Lock Modus hätte auch dann gegriffen sobald Malware von dieser Bibliothek nachgeladen worden wäre. Hier wäre vor Ausführung schon blockiert worden.

Dazu gehen Sie in der EPDR/AD360 Konsole oben im Reiter auf Einstellungen und wählen dann im linken Reiter “Program blocking” aus.

Unter „Enter the names of the programs to block“ geben Sie 3CXDesktopApp.exe ein.

Diese Executable wird dann von WatchGuard EPDR/AD360 geblockt.

Um zu prüfen welche 3CX-Desktop-App Version Sie nutzen klicken Sie bitte rechts unten in der Taskleiste auf das kleine 3CX-Symbol mit der rechten Maustaste und anschließend auf Info.

Die gepatchte Version von 3CX ist seit gestern Nacht online und hat die Versionsnummer 18.12.422.

_____________________________________________________________________________________________________

Update: THOR Forensik Scanner von Nextron – für Windows und MacOS

In Zusammenarbeit mit Nextron wurde ein Scanner veröffentlicht, um feststellen zu können ob man von dem Angriff betroffen ist. Der Scanner sucht nach Spuren der Lazarus Malware bzw. nach möglichen Trojanern.

Für Windows:

Um den Scanner downloaden zu können müssen Sie im 3CX Forum registriert sein:
>> Forensic Scanner Nextron THOR | 3CX Forum

Um Ihr System zu scannen, führen Sie bitte folgende Schritte durch:

Entpacken Sie alle ZIP Dateien innerhalb des Archives in einen Ordner
Die Ordnerstruktur unter Windows muss dabei wie folgt aussehen:
Die Datei „3cx.lic“ und der Ordner „custom-signatures“ müssen händisch aus dem Archiv entpackt werden und dem THOR Ordner hinzugefügt werden.
Starten Sie nun die Kommandozeile (cmd) als Administrator und wechseln Sie per „cd“ in den entsprechenden Ordner (Bsp.: cd C:/User/XYZ/Desktop/THOR/ ) und führen folgende Befehle aus:
```
thor-lite-util.exe upgrade
```
und
```
thor64-lite.exe --nolowprio --lookback 150 --global-lookback
```
Dieser Scan kann mehrere Minuten dauern. Nachdem der Scan abgeschlossen ist, erhalten Sie eine Report Datei welche Sie im THOR Ordner finden.

Für MacOS:

Um den Scanner downloaden zu können müssen Sie direkt bei Nextron registriert sein:
>> Nextron THOR Lite

Das Paket aus dem 3CX Forum benötigen Sie natürlich auch, um die Datei „3cx.lic“ und die „custom-signatures“ zu erhalten:

Die Vorgehensweise ist bei MacOS von Schritt 1 bis 3 identisch, bei Schritt 4 unterscheiden sich nur die Befehle für die Kommandozeile (cmd) etwas:

./thor-lite-util upgrade

und

./thor-lite-macosx --lookback 150 --global-lookback

Mein Warenkorb

WatchGuard Firewall / VPN

WatchGuard Tabletop Modelle

WatchGuard Rackmount Modelle

Virtuelle Appliances

Zubehör und weitere Services

Ältere WatchGuard Modelle

WatchGuard Access Points

Wi-Fi 6 WatchGuard Access Points

ältere WatchGuard Access Points

WatchGuard AuthPoint

Multifaktor-Authentifizierung

WatchGuard Endpoint Security & Panda

Einzelprodukte

Zusatzmodule

Bundles

Für Bestandskunden von Panda empfehlen wir weiterhin:

WatchGuard Schulungen

Unsere WatchGuard Administrator-Schulung

Individualschulungen vor Ort

WatchGuard Videos und Webinare (kostenfrei)

Nächste Schulungs-Termine:

Follow-Up Q&A-Session:

Weitere Termine:

WatchGuard Support

Support durch BOC IT-Security GmbH

Häufig nachgefragt...

Support durch WatchGuard (kostenfrei)

Hilfe zur Selbsthilfe (kostenfrei)

WatchGuard Informationen

ACHTUNG: Sicherheitswarnung bei der 3CX-Desktop-App – Versionsnummern 18.12.407 & 18.12.416

WatchGuard EPDR/AD360 bietet umfassenden Schutz

Update: THOR Forensik Scanner von Nextron – für Windows und MacOS

Für Windows:

Für MacOS:

Das könnte Sie auch interessieren:

Leave a Reply Cancel Reply

BOC IT-Security GmbH
Künzeller Straße 93 D-36043 Fulda Deutschland / Germany Tel: +49 661 9440440 Fax: +49 661 9440490 E-Mail: info@boc.de Internet: https://www.boc.de	Geschäftsführer: Dipl.-Ing. Bernd Och Maik Lumler Handelsregister: Fulda 5 HRB 5345 USt-IdNr.: DE 256 847 327