[Info] 3cx gehackt!!! (Offiziell bestätigt)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
I

ip-phoneforum72

Mitglied
Mitglied seit
31 Okt 2020
Beiträge
452
Punkte für Reaktionen
54
Punkte
28
Aktuell gibt es in internationalen Bereichen des Internet z.B. auf Reddit Vermutungen, Hinweise und Diskussionen, dass 3cx großflächig gehackt sein könnte.

Im deutschen 3cx Forum und hier liest man dazu noch nichts.

Was ist dran an den Dingen?

S.a. Z.B.

Reddit - Dive into anything

www.reddit.com www.reddit.com
Mehrere Beiträge dazu.

???

[Edit Novize: Beiträge zusammengefasst - siehe Forumsregeln]

Bestätigt durch Nick Galea (CEO 3cx)!!!

Schmeißt alle 3cx dringend kurzfristig vom PC!

S.a.
www.3cx.com

Threat alerts from SentinelOne for desktop update initiated from desktop client

Looks like the update touches LOTS of files and directories..... /var/lib# find 3cxpbx/ -newermt "2023-03-26 14:00:00" -not -newermt "2023-03-26 15:00:00+1" 3cxpbx/ 3cxpbx/Instance1/Data/Ivr/Prompts 3cxpbx/Instance1/Data/Ivr/Prompts/Sets/8210986B-9412-497f-AD77-3A554F4A9BDB...
www.3cx.com www.3cx.com
 
Zuletzt bearbeitet von einem Moderator:
Ist leider wahr.

So wie es hier beschrieben, habe ich es per Warnmail erfahren

www.bleepingcomputer.com

Hackers compromise 3CX desktop app in a supply chain attack

A digitally signed and trojanized version of the 3CX Voice Over Internet Protocol (VOIP) desktop client is reportedly being used to target the company's customers in an ongoing supply chain attack.
www.bleepingcomputer.com www.bleepingcomputer.com
 
Oha, der Supergau für einen ITK Anlagenhersteller.
 
Ja? Ich höre meist nur von Vodafone …
 
  • Haha
Reaktionen: unnerwechs
man sollte sich diesen Kommentar zu einem auf heise.de erschienenen Beitrag durchlesen:
www.heise.de

heise online

News und Foren zu Computer, IT, Wissenschaft, Medien und Politik. Preisvergleich von Hardware und Software sowie Downloads bei Heise Medien.
www.heise.de www.heise.de

Absolut untragbar ist, dass im offiziellen Post von Nick Galea die Schwere der Problematik absolut heruntergespielt wird. Keine Empfehlung zur De-Installation, Säuberung etc., keine Wahrheit ueber die Schwere. Kein Hinweis auf eine Ursache überhaupt die Entwicklungsumgebung kompromittiert bekommen zu haben. etc...

Ein Endkunde könnte denken "ach, halb so wild".

R.
 
Wieder einmal der Klassiker. Erstmal so tun als wenn nichts passiert wäre. Wenn die Schadenersatzforderungen der Kunden kommen, wird es eng. Auch von Seiten der DSGVO …

Der Heise Kommentar ist schon deftig formuliert. Wenn es aber der Tatsache entspricht wäre dies ein Armutszeugnis für die Entwicklungsabteilung.

@ip-phoneforum72 Ich hab mich auch zurückgelehnt, dachte: Halb so wild ist ja nicht die Anlage nur der Client. Das den aber so gut wie jeder im Einsatz hat …
 
Ich verstehe nicht, warum das nicht von Anfang an oben unter "3CX Neuigkeiten" kommuniziert wurde, wo es hingehört
 
Genaugenommen gehört es ja eigentlich hierhin: ;)

3CXPhone

3CXPhone – VoIP-Telefon für Microsoft Windows
www.ip-phone-forum.de www.ip-phone-forum.de

Edit:
Aber "3CX Neuigkeiten" ist sicherlich auch nicht schlecht, so wie jetzt das neue Thema dort...
 
SnoopyDog schrieb:
Ich verstehe nicht, warum das nicht von Anfang an oben unter "3CX Neuigkeiten" kommuniziert wurde, wo es hingehört
Zum Vergrößern anklicken....
Ich habe das ja Initial gepostet.

Erstens war das zum Post-Zeitpunkt (bei mir) erst nur eine Vermutung, nachdem ich bei Reddit und anderen internationalen Foren darauf aufmerksam wurde.

Zweitens nahm ich an, dass dieses Forum eher für offizielle Ankuendigunegn vorgesehen wäre.

Mittlerweile weiß ich aber,

- dass 3cx diese Sache offiziell eher als nicht wahnsinnig ernst versucht zu halten…

- 3cx kaum in deutschen Foren postet. Und schon gar nicht hier

- und wenn, dann aber nicht wirklich informativ.

- dazu passt, dass Nick Galea im internationalen Forum nichts Substantielles postet
 
Ich bin mir ehrlich gesagt nicht sicher, wo das am besten hin passt:
beim 3CX-Softphone ist es aufgrund der genau dort enthaltenen Lücke zwar korrekt einsortiert, geht dort aber sehr schnell unter, was die Gefahr imo zu sehr relativiert.
Bei den 3CX-Neuigkeiten passen eher neue Produkte hin, als Warnungen und Wasserstandmeldungen von alten bzw etablierten Produkten.
Hier hingegen geht es um das 3CX-System im Ganzen, daher habe ich diesen Thread auch nicht verschoben sondern hier belassen ;)
 
ip-phoneforum72 schrieb:
Mittlerweile weiß ich aber,

- dass 3cx diese Sache offiziell eher als nicht wahnsinnig ernst versucht zu halten…

- 3cx kaum in deutschen Foren postet. Und schon gar nicht hier

- und wenn, dann aber nicht wirklich informativ.

- dazu passt, dass Nick Galea im internationalen Forum nichts Substantielles postet
Zum Vergrößern anklicken....
1. Das kann ich nicht bestätigen. So weit ich weiss arbeiten die rund um die Uhr an einer Lösung
2. Im englischen Forum antwortet der CISO direkt, da scheint es manchmal schwer zu sein mit zu halten
3. 4. Natürlich wollen die Leute schnelle Antworten, wie informiert wurde gibt es auch gerade eine Untersuchung. Ich denke schon, dass 3CX informieren wird, wenn es was zu informieren gibt. Spezies wie Heise etc wärmen alten Tabak auf, damit sie Schlagzeilen haben. Ich denke es verstehen schon viele, dass die genaue Überprüfung des Quellcodes halt ein bischen dauert und man vorsichtig sein sollte, was man kommuniziert.
 
Kompromittierte Software, die noch dazu ein internes Update anbietet, ist selbst auf gesicherten Systemen ein prima Einfallstor.

Für die Installation sind Admin-Privilegien notwendig. Je nach Umgebung bleiben diese auch erhalten, wenn aus der Installation heraus dann die eigentliche Software gestartet wird.
Ist dann in der (aus der Admin-Installation heraus gestartete) Software die Malware enthalten, war's das.
 
Was machen eigentlich die, die vom Virenschutz die Dateien und den Installer gelöscht bekamen?

Eine De-Installation ist ja über normale Windows Mittel dann nicht mehr möglich.

Oder sollten die die neue (geprüfte) Version einfach drüberinstallieren?

R
 
Wenn du den PC (oder was auch immer) nach dem Befall noch einsetzt, ist das in meinen Augen eher grob fahrlässig.
Allenfalls würde ich die "Kiste" mal eine Woche ausgeschaltet lassen und danach offline mit Desinfec't prüfen, was schon mal 2-3 h dauern kann. Nach einem Fund (weiterhin offline) prüfen was in der 1. Minute nach dem Zeitpunkt des Befalls noch so an neuen Dateien angelegt wurde und mal bei Virustotal hochladen. Wenn du den genauen Zeitpunkt des Befalls hast, kannst du auch das letzte System-Image-Backup vor dem Befall zurückspielen.
 
ip-phoneforum72 schrieb:
Vollzitat gemäß Boardregeln https://www.ip-phone-forum.de/threads/ip-phone-forum-regeln.297224/ entfernt by stoney
Zum Vergrößern anklicken....
Die kompromittierte Installer-Datei sollte auch nicht mehr zur De-Installation genutzt werden. Es ist ja bekanntermaßen Malware enthalten.

Am besten fahren diejenigen, die die Installation unter Überwachung durch Installations-Wächter durchgeführt haben. Solche Programme protokollieren, welche Verzeichnisse, Dateien und Registry-Einträge erstellt werden und können eine Installation dann restlos entfernen.
Leider kann ich mangels Erfahrungen und aufgrund der großen Anzahl dieser Programme nicht sagen, welche empfehlenswert sind und welche vorgeben zu überwachen, aber tatsächlich nur die Windows-eigenen Tools und Install-Logs nutzen und bei Malware-Befall wie in diesem Thema versagen.

3CX-Nutzer müssen wohl so lange warten und schmoren, bis es detaillierte Anleitungen zur Entfernung der Malware-Teile gibt und können dann nur hoffen, daß nichts nachgeladen wurde.
 
Zuletzt bearbeitet von einem Moderator:
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 546 (Mitglieder: 42, Gäste: 504)

Neueste Beiträge

Statistik des Forums

Themen
246,123
Beiträge
2,246,555
Mitglieder
373,625
Neuestes Mitglied
HyperTonie-1
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück