[English]Wer unter Windows ein 3CX-System (Telefonanlage) in einer Version unterhalb v18 Update 3 (Build 450) betreibt, sollte reagieren. Der Hersteller hat ein Sicherheitsupdate für dieses Produkt in Form der v18 Update 3 (Build 450) veröffentlicht.
Anzeige
Das 3CX-System
Bei 3CX handelt es sich um eine softwarebasierte Telefonanlag für Nebenstellen (PBX). Die 3CX-Telefonanlage basiert auf dem SIP-Standard (Session Initiation Protocol). Die Lösung ermöglicht es Nebenstellen, Anrufe über das öffentliche Telefonnetz (PSTN) oder über Voice-over-Internet-Protocol-Dienste (VoIP) vor Ort, in der Cloud oder über einen Cloud-Dienst zu tätigen, der von 3CX betrieben wird. Die 3CX-Telefonanlage ist für Windows, Linux und Raspberry Pi[ erhältlich und unterstützt Standard-SIP-Soft-/Hardphones, VoIP-Dienste, Faxe, Sprach- und Web-Meetings sowie herkömmliche PSTN-Telefonleitungen. Details lassen sich auf der Herstellerseite abrufen.
Warnung vor einer Schwachstelle
Blog-Leser Liam hat mit bereits Mitte des Monats per E-Mail kontaktiert und wies mich auf ein Sicherheitsupdate für 3CX-Systeme hin (danke dafür). Er hat von diesem Hersteller folgenden Hinweis erhalten.
Dear Liam,
Our records indicate that you are using a Windows-based 3CX System below v18 Update 3 (Build 450). 3CX systems below this version have been subjected to a security vulnerability.
We are not aware of any exploitation of this vulnerability to date, and therefore we will not disclose further details of the vulnerability at the moment. This is to protect yourselves and other customers from possible malicious attacks. The reporting entity has also agreed to withhold publicly disclosing the CVE until 21st March 2022.
We urge you to upgrade your 3CX System to v18 Update 3 (Build 450) or higher as soon as possible, in order to keep your installation secure.
To upgrade to V18 Update 3
Click on "Updates" in the Management Console's Dashboard, select "v18 Update 3 Final" and click on "Download Selected" to install this update on your PBX.
Regards,
The 3CX Team
Inzwischen gibt es aber wohl 3CX Version 18, Hotfix 1 (Security & Memory), Build 18.0.3.461 March 2022, um Schwachstellen zu beheben. Ergänzung: Aus der Leserschaft kam die Rückmeldung, dass das längst gepatcht sei und wer die Software noch einsetze. Kann ich nicht final beurteilen, da ich das Produkt nicht kenne.
Anzeige
Ich bin aber zum 31. März 2022 auf obigen Tweet bzw. diesen Artikel auf Medium gestoßen. Nutzer @frycos hat schlicht die Suchmaschine Shodan verwendet, um die Erreichbarkeit der "3CX Phone System Management Console" aus dem Internet zu überprüfen. Über 203 Tausend Instanzen wurden gefunden, davon laufen über 31.600 Installationen in Deutschland – dass niemand die noch nutzt, scheint daher eher nicht zu stimmen. Jedenfalls hat @frycos seine Installation unter die Lupe genommen und beschreibt, wie er das System über die 3CX Phone System Management Console sicherheitstechnisch auseinander nehmen konnte.
Anzeige
Die benannte Version, auf die aktualisiert werden soll, enthält im Client-Paket Malware
Hackers compromise 3CX desktop app in a supply chain attack
Ist aber eine gänzlich andere Baustelle – siehe den Blog-Beitrag 3CX Desktop-App in Supply-Chain-Attack infiziert (29. März 2023) von heute Nacht. Der Beitrag hat sich mehr oder weniger mit dem Artikel der Kollegen von Bleeping Computer überschnitten. Obiger Beitrag bezog sich auf eine Schwachstelle vor fast genau einem Jahr.