Zur Startseite gehen
0,00 €*

IP-Telefonsoftware 3CX mit Schadcode infiziert - Sophos MDR - Kunden sind geschützt Rapid Response Team kann helfen

von: Sven Berger | 3. April 2023

Cyberkriminelle haben 3CX-Anwendungen attackiert und diese für gezielte Angriffe genutzt. Insbesondere wurden Nutzer der 3CX-Softphone-App auf Windows- und macOS-Geräten ins Visier genommen. Die Voice-over-Internet-Protocol (VoIP)-Software von 3CX wird weltweit von über 600.000 Unternehmen genutzt. In den letzten Tagen haben wir viele Angriffe registiert. Das Sophos Rapid Response Team kann betroffenen Unternehmen helfen. 

3CX kompromittiert

Am 22. März 2023 haben einige 3CX-Anwender Sophos über mögliche falsch-positive Erkennungen der 3CX-DesktopApp durch ihre Endpoint Security Agents informiert. Daraufhin hat Sophos Managed Detection and Response (MDR) am 29. März schädliche Aktivitäten entdeckt, die von der 3CXDesktopApp ausgingen. Es handelte sich demnach nicht um falsch-positive Meldungen, sondern eine reale Attacke auf die Software. 

3cx

3CX ist eine IP-Telefonsoftware, die auf offenen Standards basiert und eine umfassende Unified-Communications-Lösung bereitstellt. Bei der identifizierten Schadsoftware handelt es sich um eine digital signierte und mit einem Trojaner versehene Version des Softphone-Desktop-Clients für Windows und MacOS. Die bisher am häufigsten beobachtete Aktivität nach der Exploitation ist das Starten einer interaktiven Befehls-Shell.

Sophos reagiert auf Meldungen zu 3CX

Sophos MDR Operations überwachte die Kompromittierung von 3CX aufmerksam und ergriff entsprechende Maßnahmen. Kürzlich hat 3CX eine Sicherheitswarnung herausgegeben, welche die Kompromittierung bestätigt und weitere Details enthüllte. In der Warnung wurde darauf hingewiesen, dass die Electron Windows App, die mit dem Update 7 und den Versionsnummern 18.12.407 und 18.12.416 ausgeliefert wurde, ein Sicherheitsproblem aufweist. Betroffen war die ausführbare Datei 3CXDesktopApp.exe. Auch die Electron Mac App mit den Versionsnummern 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 war von diesem Problem betroffen.

Was Anwender jetzt tun können

Durch proaktive Bedrohungssuche hat das Sophos MDR-Team die betroffenen Kunden identifiziert und benachrichtigt, um ihnen Empfehlungen zur Behebung des Problems zu gegeben. Kunden, die keine Benachrichtigung erhalten haben, sind auch nicht betroffen und haben keinen Handlungsbedarf. Generell gilt: Wer keine 3CXDesktopApp-Software nutzt, 3CX Hosted nicht einsetzt und 3CX StartUP nicht verwendet, muss auch nichts unternehmen.

Kunden sollten 3CX dringend aktualisieren oder deinstallieren

Kunden, die 3CX selbst gehostet haben oder die Software on-pPremise nutzen, sollten Folgendes tun:

  • die Management-Konsole starten
  • zu Updates gehen
  • die aktuelle Mac Desktop-Anwendung herunterladen - 18.12.422
  • oder die aktuelle Windows-Desktop-Anwendung herunterladen - 18.12.422

Kunden, die Clients/Desktops verwenden, sollten den Empfehlungen von 3CX folgen und die Electron-App deinstallieren:

  • Für Windows im Start-Menü die Systemsteuerung auswählen und unter „Programme und Funktionen“ die 3CX Desktop App auswählen sowie anschließend auf „Deinstallieren“ klicken.
  • Mac-Kunden sollten unter „Anwendungen“ die „3CX Desktop APP“ auswählen, mit der rechten Maustaste anklicken und „In den Papierkorb verschieben" wählen. Ist die Anwendung auch auf dem Desktop vorhanden ist, sollte sie auch dort gelöscht werden. Anschließend muss der Papierkorb geleert werden. 

Wie Sophos weiter handelt

Die SophosLabs untersuchen Aktivitäten, die von dieser Software ausgehen, weiter. Das MDR-Team führt auch zukünftig Threat Hunts durch, um potenzielle Indikatoren für verdächtige Aktivitäten und Anzeichen für Post-Exploitation-Taktiken zu identifizieren. Falls verdächtiges oder bösartiges Verhalten in den Beständen der Kunden beobachtet wird, werden sie benachrichtigt.

Sie sind betroffen? Sie möchten wissen, ob Sie betroffen sind? 

Das Sophos Rapid Response Team kann Ihnen in beiden Fällen helfen. Melden Sie sich beim UTMshop Team, um den Kontakt zum Rapid Response Team herzustellen. Gerne könne wir den gesamten Prozess auch seitens der UTMshop-Technik mit begleiten. Zögern Sie nicht, da sich die Schadsoftware nach sehr schnell weiter verbreitet und enorme Schäden resultieren können. Die Kollegen vom Rapid Response Team können auch ausschließen, dass Sie betroffen sind. Melden Sie sich hier: service@utm-shop.de - 0351-81077-50

Autor: Sven Berger

20+ Jahre IT-Sicherheits-Experte, Prokurist, Leitung des Bereichs IT-Sicherheit der ito consult GmbH/ UTMshop
Zertifizierungen: Dipl. Betriebswirt; Sophos Certified Architect

Produktgalerie überspringen

Zugehörige Produkte

Sophos Central Managed Detection and Response Complete (MDR)
Sophos Central Managed Detection and Response Complete (MDR)
24/7 Threat Detection and Response Sophos MDR ist ein vollständig verwalteter 24/7-Service, der von Experten bereitgestellt wird. Die hochspezialisierten Experten erkennen Cyberangriffe auf Ihre Computer, Server, Netzwerke, Cloud Workloads und E-Mail-Konten und ergreifen Reaktionsmaßnahmen. Sophos Central Managed Detection and Response hat alle Funktionen aus dem Produkt Sophos Central Intercept X Advanced mit EDR & XDR & dem MDR Service. Bekämpfen Sie Bedrohungen – mit Ihrem persönlichen Expertenteam Mit Sophos MDR erhält Ihr Unternehmen rund um die Uhr Unterstützung von unseren Bedrohungsexperten in folgenden Bereichen: Proaktives Aufspüren und Prüfen von potenziellen Bedrohungen und Vorfällen Nutzen aller vorliegenden Informationen, um Ausmaß und Schwere von Bedrohungen zu bestimmen Anwenden geeigneter Maßnahmen je nach Risikobewertung der Bedrohung Einleiten von Maßnahmen zum Stoppen, Eindämmen und Beseitigen von Bedrohungen Bereitstellen konkreter Ratschläge, um die Ursache wiederholt auftretender Vorfälle zu bekämpfen Maximale Kontrolle und Transparenz Sophos übernimmt die Arbeit für Sie, doch Sie behalten die Entscheidungsgewalt. Sie kontrollieren, wie und wann potenzielle Vorfälle eskaliert werden, welche Maßnahmen wir ggf. einleiten sollen und wer über die einzelnen Schritte informiert wird. In wöchentlichen und monatlichen Reports werden Sie über alle Vorgänge in Ihrer Umgebung und die Maßnahmen informiert, die zu Ihrer Sicherheit getroffen wurden. Sie möchten Sophos Central gerne sehen? Dann schauen Sie sich die Live Demo von Sophos Central hier an. Email: demo@sophos.com PW: Demo@sophos.com
209,62 €*
Details
Unsere Website benutzt Cookies, die für den technischen Betrieb der Website erforderlich sind und stets gesetzt werden. Andere Cookies, die den Komfort bei Benutzung dieser Website erhöhen, der Direktwerbung dienen oder die Interaktion mit anderen Websites und sozialen Netzwerken vereinfachen sollen, werden nur mit Ihrer Zustimmung gesetzt. Zur Datenschutzerklärung