{"id":16818,"date":"2023-03-31T14:43:04","date_gmt":"2023-03-31T12:43:04","guid":{"rendered":"https:\/\/www.boc.de\/watchguard-info-portal\/?p=16818"},"modified":"2023-04-13T12:05:35","modified_gmt":"2023-04-13T10:05:35","slug":"achtung-sicherheitswarnung-bei-der-3cx-desktop-app-versionsnummern-18-12-407-18-12-416","status":"publish","type":"post","link":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/2023\/03\/achtung-sicherheitswarnung-bei-der-3cx-desktop-app-versionsnummern-18-12-407-18-12-416\/","title":{"rendered":"ACHTUNG: Sicherheitswarnung bei der 3CX-Desktop-App – Versionsnummern 18.12.407 & 18.12.416"},"content":{"rendered":"

Sicherheitswarnung: Die 3CX-Desktop-App weist ein Sicherheitsproblem auf.<\/strong><\/p>\n

CVE-2023-29059:\u00a0https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-29059<\/a><\/strong><\/p>\n

Betroffen sind folgende Versionen der 3CX-Desktop-App:
\nWindows:\u00a0 18.12.407 + 18.12.416
\nMacOS: 18.11.213, 18.12.402, 18.12.407 + 18.12.416<\/strong><\/p>\n

Niedrigere Versionsnummern sind davon nicht betroffen.\u00a03CX empfiehlt die betroffene 3CX-Desktop-App zu deinstallieren und bis auf weiteres den 3CX-Webclient zu benutzen bis die Sicherheitsl\u00fccke geschlossen wird. Der Vorteil des Webclients ist, dass keine Installation oder Aktualisierung erforderlich ist und die Chrome-Web-Security automatisch angewendet wird.<\/strong><\/p>\n

Offenbar handelt es sich um einen gezielten Angriff eines Advanced-Persistent-Threats. Anti-Virus-Anbieter haben die ausf\u00fchrbare Datei 3CXDesktopApp.exe markiert und in vielen F\u00e4llen deinstalliert. Die Domains, die von dieser kompromittierten Bibliothek kontaktiert wurden, sind bereits gemeldet worden, wobei die meisten bereits \u00fcber Nacht abgeschaltet wurden. Ein Github-Repository, in dem diese Domains aufgef\u00fchrt waren, wurde ebenfalls abgeschaltet und damit unsch\u00e4dlich gemacht.<\/p>\n

Weitere Informationen finden Sie im >> Blogbeitrag der Ritter Technologie GmbH<\/a> oder auf dem >> Twitter-Kanal von 3CX<\/a>.<\/p>\n

<\/p>\n

_____________________________________________________________________________________________________<\/p>\n

WatchGuard EPDR\/AD360 bietet umfassenden Schutz<\/strong><\/h4>\n

Mit WatchGuard EPDR\/AD360 k\u00f6nnen Sie in der Konsole mit dem Feature “Program blocking” in diesem Fall die 3CX-Desktop-App deaktivieren, so dass die Applikation nicht genutzt werden kann. Dieses Feature l\u00e4sst sich einfach einmalig zentral setzen und greift anschlie\u00dfend sofort im gesamten Unternehmen auf allen Endpoints auf denen ein EPDR l\u00e4uft.<\/strong> Der Lock Modus h\u00e4tte auch dann gegriffen sobald Malware von dieser Bibliothek nachgeladen worden w\u00e4re. Hier w\u00e4re vor Ausf\u00fchrung schon blockiert worden.<\/p>\n

Dazu gehen Sie in der EPDR\/AD360 Konsole oben im Reiter auf Einstellungen und w\u00e4hlen dann im linken Reiter “Program blocking” aus.
\n\"\"<\/p>\n

Unter \u201eEnter the names of the programs to block\u201c geben Sie 3CXDesktopApp.exe<\/strong> ein.<\/p>\n

Diese Executable wird dann von WatchGuard EPDR\/AD360 geblockt.
\n\"\"<\/p>\n

Um zu pr\u00fcfen welche 3CX-Desktop-App Version Sie nutzen klicken Sie bitte rechts unten in der Taskleiste auf das kleine 3CX-Symbol mit der rechten Maustaste und anschlie\u00dfend auf Info.<\/p>\n

Die gepatchte Version von 3CX ist seit gestern Nacht online und hat die Versionsnummer 18.12.422.<\/p>\n

_____________________________________________________________________________________________________<\/p>\n

Update: THOR Forensik Scanner von Nextron \u2013 f\u00fcr Windows und MacOS<\/strong><\/h4>\n

In Zusammenarbeit mit Nextron wurde ein Scanner ver\u00f6ffentlicht, um feststellen zu k\u00f6nnen ob man von dem Angriff betroffen ist. Der Scanner sucht nach Spuren der Lazarus Malware bzw. nach m\u00f6glichen Trojanern.<\/p>\n

F\u00fcr Windows:<\/h5>\n

Um den Scanner downloaden zu k\u00f6nnen m\u00fcssen Sie im 3CX Forum registriert sein:
\n>> Forensic Scanner Nextron THOR | 3CX Forum<\/a><\/p>\n

Um Ihr System zu scannen, f\u00fchren Sie bitte folgende Schritte durch:<\/p>\n

    \n
  1. Entpacken Sie alle ZIP Dateien innerhalb des Archives in einen Ordner<\/li>\n
  2. Die Ordnerstruktur unter Windows muss dabei wie folgt aussehen:
    \n\"\"<\/li>\n
  3. Die Datei \u201e3cx.lic\u201c und der Ordner \u201ecustom-signatures\u201c m\u00fcssen h\u00e4ndisch aus dem Archiv entpackt werden und dem THOR Ordner hinzugef\u00fcgt werden.<\/li>\n
  4. Starten Sie nun die Kommandozeile (cmd) als Administrator und wechseln Sie per \u201ecd\u201c in den entsprechenden Ordner (Bsp.: cd C:\/User\/XYZ\/Desktop\/THOR\/ ) und f\u00fchren folgende Befehle aus:\n
    thor-lite-util.exe upgrade<\/pre>\n
    und<\/p>\n
    thor64-lite.exe --nolowprio --lookback 150 --global-lookback<\/pre>\n<\/li>\n
  5. Dieser Scan kann mehrere Minuten dauern. Nachdem der Scan abgeschlossen ist, erhalten Sie eine Report Datei welche Sie im THOR Ordner finden.<\/li>\n<\/ol>\n
    F\u00fcr MacOS:<\/h5>\n
    Um den Scanner downloaden zu k\u00f6nnen m\u00fcssen Sie direkt bei Nextron registriert sein:
    \n    >> Nextron THOR Lite<\/a><\/p>\n
    Das Paket aus dem 3CX Forum ben\u00f6tigen Sie nat\u00fcrlich auch, um die Datei \u201e3cx.lic\u201c und die \u201ecustom-signatures\u201c zu erhalten:
    \n\"\"
    \nDie Vorgehensweise ist bei MacOS\u00a0 von Schritt 1 bis 3 identisch, bei Schritt 4 unterscheiden sich nur die Befehle f\u00fcr die Kommandozeile (cmd) etwas:<\/p>\n
    .\/thor-lite-util upgrade<\/pre>\n
    und<\/p>\n
    .\/thor-lite-macosx --lookback 150 --global-lookback<\/pre>\n","protected":false},"excerpt":{"rendered":"
    Sicherheitswarnung: Die 3CX-Desktop-App weist ein Sicherheitsproblem auf. CVE-2023-29059:\u00a0https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2023-29059 Betroffen sind folgende Versionen der 3CX-Desktop-App: Windows:\u00a0 18.12.407 + 18.12.416 MacOS: 18.11.213, 18.12.402, 18.12.407 + 18.12.416 Niedrigere Versionsnummern sind davon nicht betroffen.\u00a03CX empfiehlt die betroffene 3CX-Desktop-App zu deinstallieren und bis auf weiteres den 3CX-Webclient zu benutzen bis die Sicherheitsl\u00fccke geschlossen wird. Der Vorteil des Webclients ist, dass keine Installation oder Aktualisierung erforderlich ist und die Chrome-Web-Security automatisch … Weiterlesen ACHTUNG: Sicherheitswarnung bei der 3CX-Desktop-App – Versionsnummern 18.12.407 & 18.12.416<\/span> »<\/span><\/a><\/p>\n","protected":false},"author":4,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[445],"tags":[879,704,839,906,907],"class_list":["post-16818","post","type-post","status-publish","format-standard","hentry","category-aktuelle-nachrichten","tag-3cx","tag-endpoint-security","tag-epdr","tag-sicherheitsluecke","tag-sicherheitswarnung"],"_links":{"self":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/16818"}],"collection":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/comments?post=16818"}],"version-history":[{"count":24,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/16818\/revisions"}],"predecessor-version":[{"id":16904,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/posts\/16818\/revisions\/16904"}],"wp:attachment":[{"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/media?parent=16818"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/categories?post=16818"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/wordpress.boc.de\/watchguard-info-portal\/wp-json\/wp\/v2\/tags?post=16818"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}