Sårbarhet i VoIP-tjänsten 3CX utnyttjas för angrepp mot kunder

En sårbarhet i VoIP-mjukvaran 3CX utnyttjas för närvarande för att angripa kunder som använder tjänsten. [1]

Angripare använder en trojanversion av 3CX för att angripa kunder. Den digitalt signerade trojanen laddar ner ett installationsprogram som i sin tur laddar ner skadlig kod som sedan kontaktar olika C2-servrar som mjukvaran använder.

Mjukvaran finns i versioner för Windows, MacOS, Linux, Android och iOS men i nuläget ska endast versionerna för Windows och MacOS vara påverkade.

Mer information finns i supportforum hos 3CX samt i rapportering från säkerhetsföretagen Sophos och Crowdstrike. [2, 3, 4]

Påverkade produkter

Enligt 3CX påverkas följande versioner av mjukvaran:

Update 7 for Windows (versionerna 18.12.407-18.12.416)
Electron Mac App (versionerna 18.11.1213, 18.12.402, 18.12.407 och 18.12.416)

Rekommendationer

CERT-SE rekommenderar användare att följa 3CX:s rekommendationer [1], främst att avinstallera mjukvaran och sedan övergå till att använda webbappen PWA istället.

Källor

[1] https://www.3cx.com/blog/news/desktopapp-security-alert/
[2] https://www.3cx.com/community/threads/3cx-desktopapp-security-alert.119951/
[3] https://news.sophos.com/en-us/2023/03/29/3cx-dll-sideloading-attack/
[4] https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/