Kommentar: Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

3CX ist ein Unternehmen, das Voice-over-IP-Systeme vertreibt. Letzte Woche beschwerten sich Kunden darüber, dass die VoIP-Software von 3CX Anti-Virus-Warnungen auslöste. 3CX tat dies zunächst als Fehlalarm ab. Anfang der Woche veröffentlichte SentinelOne dann eine Notiz, die besagt, dass die Anwendung eine Hintertür enthält, die wahrscheinlich von einem staatlich gesponserten Akteur aus Nordkorea erstellt wurde. Diese Hintertür ermöglicht einen vollständigen Fernzugriff auf Systeme, auf denen die 3CX-Desktop-Anwendung läuft.

3CX hat inzwischen eine aktualisierte Erklärung veröffentlicht, die die bisherigen Erkenntnisse bestätigt. Die Anwendung wurde mit dem „Electron“-Framework geschrieben, dass für die Erstellung von Desktop-Anwendungen mit Webtechnologien wie HTML und JavaScript. Eine im 3CX-Desktop-Client enthaltene Bibliothek war bösartig, was zu der Kompromittierung führte.

Das Electron-Framework ist sehr beliebt für die schnelle Erstellung von plattformübergreifenden Desktop-Anwendungen. Die Verwendung von Webtechnologien ermöglicht es Entwicklern von webbasierten und Desktop-Anwendungen zu Werkzeugen zu wechseln. Aber Electron ist, wie viele ähnliche Technologien, stark auf Open-Source-Bibliotheken angewiesen. Diese Bibliotheken sind in der Regel nicht überprüft, und Entwickler sollten bei der Verwendung vorsichtig sein. Alle Bibliotheken von Drittanbietern müssen auf Schwachstellen gescannt werden und Anti-Malware-Warnungen zu diesen Bibliotheken dürfen nicht ignoriert werden.

Zwei Ereignisse in dieser Woche verdeutlichen die Schwierigkeiten, denen Sicherheitsteams in komplexen modernen Umgebungen konfrontiert sind, die sich auf Tools und Dienste von Drittanbietern verlassen. Zunächst wies 3CX Berichte über die Auslösung von Malware-Warnungen durch seine Anwendung Malware-Warnungen auslöste. Dies führte zu einer erheblich verzögerten Reaktion, die wahrscheinlich was den Kunden des Unternehmens wahrscheinlich erheblichen Schaden zufügte. Zweitens: Microsoft Defender hat viele Zoom-URLs als bösartig eingestuft. Dabei handelte es sich um einen echten Fehlalarm und keine der URLs war bösartig. Aber es überschwemmte die Sicherheitsteams mit Warnungen, was möglicherweise dazu führte, dass sie gültige Warnungen des Tools ignorierten.

Wenn Unternehmen von dem 3CX-Vorfall betroffen sind und die bösartige Version des VoIP-Clients installiert haben: Sie müssen dies als Vorfall behandeln. Sie dürfen den VoIP-Client nicht einfach entfernen, weitermachen wie bisher und so tun als sei nichts passiert. Die Angreifer hatten Zugang zu ihren Systemen. Dieser Zugriff kann mehrere Tage gedauert haben. Sie könnten weitere Malware installieren, Konfigurationen ändern und Daten stehlen. IT-Sicherheitsteams müssen nicht nur das Fehlen veröffentlichter Anzeichen für eine Kompromittierung überprüfen, sondern die Konfiguration jedes betroffenen Systems validieren und die Netzwerkprotokolle auf mögliche Datenexfiltrationen oder andere verdächtige Verbindungen hin überprüfen.

Weitere Informationen wurden in diesem Podcast aufbereitet: https://isc.sans.edu/podcastdetail.html?podcastid=8432