Hintertür in 3CX-VoIP-Software

Juni 9, 2023

Kommentar: Dr. Johannes Ullrich, Dean of Research beim SANS Technology Institute

3CX ist ein Unternehmen, das Voice-over-IP-Systeme vertreibt. Letzte Woche beschwerten sich Kunden darüber, dass die VoIP-Software von 3CX Anti-Virus-Warnungen auslöste. 3CX tat dies zunächst als Fehlalarm ab. Anfang der Woche veröffentlichte SentinelOne dann eine Notiz, die besagt, dass die Anwendung eine Hintertür enthält, die wahrscheinlich von einem staatlich gesponserten Akteur aus Nordkorea erstellt wurde. Diese Hintertür ermöglicht einen vollständigen Fernzugriff auf Systeme, auf denen die 3CX-Desktop-Anwendung läuft.

3CX hat inzwischen eine aktualisierte Erklärung veröffentlicht, die die bisherigen Erkenntnisse bestätigt. Die Anwendung wurde mit dem „Electron“-Framework geschrieben, dass für die Erstellung von Desktop-Anwendungen mit Webtechnologien wie HTML und JavaScript. Eine im 3CX-Desktop-Client enthaltene Bibliothek war bösartig, was zu der Kompromittierung führte.

Das Electron-Framework ist sehr beliebt für die schnelle Erstellung von plattformübergreifenden Desktop-Anwendungen. Die Verwendung von Webtechnologien ermöglicht es Entwicklern von webbasierten und Desktop-Anwendungen zu Werkzeugen zu wechseln. Aber Electron ist, wie viele ähnliche Technologien, stark auf Open-Source-Bibliotheken angewiesen. Diese Bibliotheken sind in der Regel nicht überprüft, und Entwickler sollten bei der Verwendung vorsichtig sein. Alle Bibliotheken von Drittanbietern müssen auf Schwachstellen gescannt werden und Anti-Malware-Warnungen zu diesen Bibliotheken dürfen nicht ignoriert werden.

Zwei Ereignisse in dieser Woche verdeutlichen die Schwierigkeiten, denen Sicherheitsteams in komplexen modernen Umgebungen konfrontiert sind, die sich auf Tools und Dienste von Drittanbietern verlassen. Zunächst wies 3CX Berichte über die Auslösung von Malware-Warnungen durch seine Anwendung Malware-Warnungen auslöste. Dies führte zu einer erheblich verzögerten Reaktion, die wahrscheinlich was den Kunden des Unternehmens wahrscheinlich erheblichen Schaden zufügte. Zweitens: Microsoft Defender hat viele Zoom-URLs als bösartig eingestuft. Dabei handelte es sich um einen echten Fehlalarm und keine der URLs war bösartig. Aber es überschwemmte die Sicherheitsteams mit Warnungen, was möglicherweise dazu führte, dass sie gültige Warnungen des Tools ignorierten.

Wenn Unternehmen von dem 3CX-Vorfall betroffen sind und die bösartige Version des VoIP-Clients installiert haben: Sie müssen dies als Vorfall behandeln. Sie dürfen den VoIP-Client nicht einfach entfernen, weitermachen wie bisher und so tun als sei nichts passiert. Die Angreifer hatten Zugang zu ihren Systemen. Dieser Zugriff kann mehrere Tage gedauert haben. Sie könnten weitere Malware installieren, Konfigurationen ändern und Daten stehlen. IT-Sicherheitsteams müssen nicht nur das Fehlen veröffentlichter Anzeichen für eine Kompromittierung überprüfen, sondern die Konfiguration jedes betroffenen Systems validieren und die Netzwerkprotokolle auf mögliche Datenexfiltrationen oder andere verdächtige Verbindungen hin überprüfen.

Weitere Informationen wurden in diesem Podcast aufbereitet: https://isc.sans.edu/podcastdetail.html?podcastid=8432

Related Articles

Jeder dritte Deutsche würde zehn Stunden arbeiten

Neue IAB-Umfrage zeigt eine größer werdende Bereitschaft vor allem bei jüngeren Beschäftigten Laut einer neuen Umfrage des Instituts für Arbeitsmarkt- und Berufsforschung (https://www.iab.de) (IAB) lehnen 73 Prozent der Beschäftigten in Deutschland zwar eine...

Europas Aufrüstung droht zu scheitern

Europas Aufrüstung droht zu scheitern

IfW-Kiel-Analyse zeigt kaum Kostenreduktion durch koordinierte europäische Beschaffungspläne Die massiven Investitionssteigerungen der europäischen Staaten in die Verteidigung werden nicht automatisch zur gewünschten größeren Kriegstüchtigkeit im Jahr 2030 führen. Zu...

Fast jeder Zweite ignoriert den Flugmodus

Fast jeder Zweite ignoriert den Flugmodus

BITKOM-Umfrage offenbart vor allem bei Jüngeren heimliche Mobilfunknutzung über den Wolken Laut einer neuen Umfrage des Berliner Digitalverbands BITKOM unter 1.006 Personen ab 16 Jahren haben 42 Prozent der deutschen Flugreisenden schon einmal während des Fluges...

Share This