[English]Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank für CRM-Zwecke in die Software eingebunden haben. Der Hersteller empfiehlt, diese SQL-Datenbankintegration vorübergehend zu deaktivieren. Es gibt zwar keine Details, was dort sicherheitstechnisch im Argen liegt, aber der Anbieter beschreibt in einer Sicherheitswarnung detailliert, welche SQL-Datenbanken und Software-Versionen betroffen sind und wie sich die SQL-Anbindung in der Management Console abschalten lässt.
Anzeige
Das 3CX-System
Bei 3CX handelt es sich um eine softwarebasierte Telefonanlag für Nebenstellen (PBX). Die 3CX-Telefonanlage basiert auf dem SIP-Standard (Session Initiation Protocol). Die Lösung ermöglicht es Nebenstellen, Anrufe über das öffentliche Telefonnetz (PSTN) oder über Voice-over-Internet-Protocol-Dienste (VoIP) vor Ort, in der Cloud oder über einen Cloud-Dienst zu tätigen, der von 3CX betrieben wird. Die 3CX-Telefonanlage ist für Windows, Linux und Raspberry Pi[ erhältlich und unterstützt Standard-SIP-Soft-/Hardphones, VoIP-Dienste, Faxe, Sprach- und Web-Meetings sowie herkömmliche PSTN-Telefonleitungen. Details lassen sich auf der Herstellerseite abrufen.
Warnung vor SQL-Datenbankintegration
Es gibt wohl Kunden, die eine SQL-Datenbank-Anbindung an das 3CX-System implementiert haben. 3CX gibt an, dass nur 0,25 % der Nutzer eine solche Lösung zum Customer Relation Management (CRM) verwenden; zumal es sich um eine "old style" Integration handeln soll, die für durch eine Firewall gesichertes On-Premises-Netzwerk gedacht sei. Eine solche SQL-Datenbank-Integration ist, je nach Konfigurierung, potentiell angreifbar, schreibt 3CX Pierre Jourdan zum 15. Dezember 2023 im 3CX-Blog-Beitrag Security Advisory: Disable your SQL Database Integrations.
Den Kollegen von Bleeping Computer ist der C3X-Blog-Beitrag aufgefallen und sie weisen in obigem Tweet sowie in diesem Beitrag auf die Sicherheitswarnung hin. Details zur Schwachstelle oder was das Problem bei der SQL-Datenbankintegration ist, gibt es von 3CX keine. Als betroffen listet der Hersteller folgende SQL-Datenbanken auf:
Anzeige
- MongoDB
- MsSQL
- MySQL
- PostgreSQL
Der Hersteller empfiehlt die Datenbankanbindung temporär zu deaktivieren, sofern die Versionen 18 und 20 der 3CX-Software verwendet werden. Der 3CX-Blog-Beitrag enthält Informationen, wie die Deaktivierung in der Management Console erfolgen kann. Der Hersteller arbeitet an der Beseitigung der potentiellen Schwachstelle und will zu gegebener Zeit über neue Maßnahmen informieren.
SQL-Injection Schwachstelle CVE-2023-49954
Ergänzung: Ein Blog-Leser hat mich auf Facebook auf den Eintrag für CVE-2023-49954 für eine SQL-Injection Schwachstelle hingewiesen (danke dafür). Laut der Beschreibung sind die seit dem 11. Oktober 2023 an der Sicherheitslücke dran.
Absoluter Fail von 3CX!
Nachdem die Schwachstelle durch Zufall bekannt wurde, versuchte man bei 3CX jemanden zu kontaktieren, um ein "responsible disclosure" einzuleiten. Der 3CX Customer Support wollte eine Lizenznummer wissen – da fasst Du dich doch an den Kopf.
Der Entdecker hat sich dann an CERT/CC gewandt und einen Fall eröffnet, weil eine Sicherheitslücke eine Sicherheitslücke bleibt, auch wenn man keine Lizenznummer kennt.
Lange Rede kurzer Sinn: Auch CERT/CC gelang es nicht, einen Kontakt zu 3CX herzustellen. Die weiteren Kontaktversuche des Entdeckers verliefen ebenfalls im Sande.
Deadline abgelaufen, Information veröffentlicht
Nachdem die Frist, die vom CERT/CC gesetzt wurde, abgelaufen war, hat der Entdecker der Schwachstelle dann den Eintrag für CVE-2023-49954 auf Github eingestellt. Wie schrieb mir der Leser auf Facebook: "Timeline durchlesen und ärgern. Als 3CX User komm ich mir sauverarscht vor." – und das kann ich nur voll unterschreiben.
Ähnliche Artikel:
Ergänzende Informationen zur kompromittierten 3CX Desktop-App
3CX Desktop-App in Supply-Chain-Attack infiziert (29. März 2023)
31.000 3CX-Telefonanlagen in Deutschland per Internet erreichbar
Schwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt
Anzeige
***Nachdem die Frist, die vom CERT/CC abgelaufen war, hat der Entdecker der Schwachstelle dann den Eintrag für CVE-2023-49954 auf Github eingestellt.***
Hatten die nicht schon vor wenigen Jahren großflächige Angriffe?
Und jetzt schon wieder solch eine Nummer.
Ist doch in der Linkliste drin, 29.3.2023
Oh, den hatte ich übersehen.
Auch wenn ich das Verhalten seitens 3CX nicht richtig finde:
In welchem Szenario wäre es nicht grob fahrlässig eine Cloud Telefonanlage direkt mit einem SQL Server eines CRM zu verbinden? Wer sowas einrichtet trägt imho eine Mitschuld.
Die Frage ist noch warum kein Security Newsletter rausging (den man nach der Panne im März extra für sowas eingeführt hat!) Eventuell ging er aber auch nur an betroffene?