[Info] 3cx gehackt!!! (Offiziell bestätigt)

ip-phoneforum72

Mitglied
Mitglied seit
31 Okt 2020
Beiträge
455
Punkte für Reaktionen
55
Punkte
28
Aktuell gibt es in internationalen Bereichen des Internet z.B. auf Reddit Vermutungen, Hinweise und Diskussionen, dass 3cx großflächig gehackt sein könnte.

Im deutschen 3cx Forum und hier liest man dazu noch nichts.

Was ist dran an den Dingen?

S.a. Z.B.
Mehrere Beiträge dazu.

???

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Bestätigt durch Nick Galea (CEO 3cx)!!!

Schmeißt alle 3cx dringend kurzfristig vom PC!

S.a.
 
Zuletzt bearbeitet von einem Moderator:
Ist leider wahr.

So wie es hier beschrieben, habe ich es per Warnmail erfahren

 
Oha, der Supergau für einen ITK Anlagenhersteller.
 
Ja? Ich höre meist nur von Vodafone …
 
  • Haha
Reaktionen: unnerwechs
man sollte sich diesen Kommentar zu einem auf heise.de erschienenen Beitrag durchlesen:

Absolut untragbar ist, dass im offiziellen Post von Nick Galea die Schwere der Problematik absolut heruntergespielt wird. Keine Empfehlung zur De-Installation, Säuberung etc., keine Wahrheit ueber die Schwere. Kein Hinweis auf eine Ursache überhaupt die Entwicklungsumgebung kompromittiert bekommen zu haben. etc...

Ein Endkunde könnte denken "ach, halb so wild".

R.
 
Wieder einmal der Klassiker. Erstmal so tun als wenn nichts passiert wäre. Wenn die Schadenersatzforderungen der Kunden kommen, wird es eng. Auch von Seiten der DSGVO …

Der Heise Kommentar ist schon deftig formuliert. Wenn es aber der Tatsache entspricht wäre dies ein Armutszeugnis für die Entwicklungsabteilung.

@ip-phoneforum72 Ich hab mich auch zurückgelehnt, dachte: Halb so wild ist ja nicht die Anlage nur der Client. Das den aber so gut wie jeder im Einsatz hat …
 
Ich verstehe nicht, warum das nicht von Anfang an oben unter "3CX Neuigkeiten" kommuniziert wurde, wo es hingehört
 
Genaugenommen gehört es ja eigentlich hierhin: ;)

Edit:
Aber "3CX Neuigkeiten" ist sicherlich auch nicht schlecht, so wie jetzt das neue Thema dort...
 
Ich verstehe nicht, warum das nicht von Anfang an oben unter "3CX Neuigkeiten" kommuniziert wurde, wo es hingehört
Ich habe das ja Initial gepostet.

Erstens war das zum Post-Zeitpunkt (bei mir) erst nur eine Vermutung, nachdem ich bei Reddit und anderen internationalen Foren darauf aufmerksam wurde.

Zweitens nahm ich an, dass dieses Forum eher für offizielle Ankuendigunegn vorgesehen wäre.

Mittlerweile weiß ich aber,

- dass 3cx diese Sache offiziell eher als nicht wahnsinnig ernst versucht zu halten…

- 3cx kaum in deutschen Foren postet. Und schon gar nicht hier

- und wenn, dann aber nicht wirklich informativ.

- dazu passt, dass Nick Galea im internationalen Forum nichts Substantielles postet
 
Ich bin mir ehrlich gesagt nicht sicher, wo das am besten hin passt:
beim 3CX-Softphone ist es aufgrund der genau dort enthaltenen Lücke zwar korrekt einsortiert, geht dort aber sehr schnell unter, was die Gefahr imo zu sehr relativiert.
Bei den 3CX-Neuigkeiten passen eher neue Produkte hin, als Warnungen und Wasserstandmeldungen von alten bzw etablierten Produkten.
Hier hingegen geht es um das 3CX-System im Ganzen, daher habe ich diesen Thread auch nicht verschoben sondern hier belassen ;)
 
Mittlerweile weiß ich aber,

- dass 3cx diese Sache offiziell eher als nicht wahnsinnig ernst versucht zu halten…

- 3cx kaum in deutschen Foren postet. Und schon gar nicht hier

- und wenn, dann aber nicht wirklich informativ.

- dazu passt, dass Nick Galea im internationalen Forum nichts Substantielles postet
1. Das kann ich nicht bestätigen. So weit ich weiss arbeiten die rund um die Uhr an einer Lösung
2. Im englischen Forum antwortet der CISO direkt, da scheint es manchmal schwer zu sein mit zu halten
3. 4. Natürlich wollen die Leute schnelle Antworten, wie informiert wurde gibt es auch gerade eine Untersuchung. Ich denke schon, dass 3CX informieren wird, wenn es was zu informieren gibt. Spezies wie Heise etc wärmen alten Tabak auf, damit sie Schlagzeilen haben. Ich denke es verstehen schon viele, dass die genaue Überprüfung des Quellcodes halt ein bischen dauert und man vorsichtig sein sollte, was man kommuniziert.
 
Kompromittierte Software, die noch dazu ein internes Update anbietet, ist selbst auf gesicherten Systemen ein prima Einfallstor.

Für die Installation sind Admin-Privilegien notwendig. Je nach Umgebung bleiben diese auch erhalten, wenn aus der Installation heraus dann die eigentliche Software gestartet wird.
Ist dann in der (aus der Admin-Installation heraus gestartete) Software die Malware enthalten, war's das.
 
Was machen eigentlich die, die vom Virenschutz die Dateien und den Installer gelöscht bekamen?

Eine De-Installation ist ja über normale Windows Mittel dann nicht mehr möglich.

Oder sollten die die neue (geprüfte) Version einfach drüberinstallieren?

R
 
Wenn du den PC (oder was auch immer) nach dem Befall noch einsetzt, ist das in meinen Augen eher grob fahrlässig.
Allenfalls würde ich die "Kiste" mal eine Woche ausgeschaltet lassen und danach offline mit Desinfec't prüfen, was schon mal 2-3 h dauern kann. Nach einem Fund (weiterhin offline) prüfen was in der 1. Minute nach dem Zeitpunkt des Befalls noch so an neuen Dateien angelegt wurde und mal bei Virustotal hochladen. Wenn du den genauen Zeitpunkt des Befalls hast, kannst du auch das letzte System-Image-Backup vor dem Befall zurückspielen.
 
Die kompromittierte Installer-Datei sollte auch nicht mehr zur De-Installation genutzt werden. Es ist ja bekanntermaßen Malware enthalten.

Am besten fahren diejenigen, die die Installation unter Überwachung durch Installations-Wächter durchgeführt haben. Solche Programme protokollieren, welche Verzeichnisse, Dateien und Registry-Einträge erstellt werden und können eine Installation dann restlos entfernen.
Leider kann ich mangels Erfahrungen und aufgrund der großen Anzahl dieser Programme nicht sagen, welche empfehlenswert sind und welche vorgeben zu überwachen, aber tatsächlich nur die Windows-eigenen Tools und Install-Logs nutzen und bei Malware-Befall wie in diesem Thema versagen.

3CX-Nutzer müssen wohl so lange warten und schmoren, bis es detaillierte Anleitungen zur Entfernung der Malware-Teile gibt und können dann nur hoffen, daß nichts nachgeladen wurde.
 
Zuletzt bearbeitet von einem Moderator:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.