{"id":263648,"date":"2022-03-24T00:31:34","date_gmt":"2022-03-23T23:31:34","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=263648"},"modified":"2022-03-31T13:08:12","modified_gmt":"2022-03-31T11:08:12","slug":"schwachstelle-in-windows-3cx-telefonanlagen-patchen-ist-angesagt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/03\/24\/schwachstelle-in-windows-3cx-telefonanlagen-patchen-ist-angesagt\/","title":{"rendered":"Schwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Wer unter Windows ein 3CX-System (Telefonanlage) in einer Version unterhalb v18 Update 3 (Build 450) betreibt, sollte reagieren. Der Hersteller hat ein Sicherheitsupdate f\u00fcr dieses Produkt in Form der v18 Update 3 (Build 450) ver\u00f6ffentlicht.<\/p>\n

<\/p>\n

Das 3CX-System<\/h2>\n

\"\"Bei 3CX<\/a> handelt es sich um eine softwarebasierte Telefonanlag f\u00fcr Nebenstellen (PBX). Die 3CX-Telefonanlage basiert auf dem SIP-Standard (Session Initiation Protocol). Die L\u00f6sung erm\u00f6glicht es Nebenstellen, Anrufe \u00fcber das \u00f6ffentliche Telefonnetz (PSTN) oder \u00fcber Voice-over-Internet-Protocol-Dienste (VoIP) vor Ort, in der Cloud oder \u00fcber einen Cloud-Dienst zu t\u00e4tigen, der von 3CX betrieben wird. Die 3CX-Telefonanlage ist f\u00fcr Windows, Linux und Raspberry Pi[ erh\u00e4ltlich und unterst\u00fctzt Standard-SIP-Soft-\/Hardphones, VoIP-Dienste, Faxe, Sprach- und Web-Meetings sowie herk\u00f6mmliche PSTN-Telefonleitungen. Details lassen sich auf der Herstellerseite<\/a> abrufen.<\/p>\n

Warnung vor einer Schwachstelle<\/h2>\n

Blog-Leser Liam hat mit bereits Mitte des Monats per E-Mail kontaktiert und wies mich auf ein Sicherheitsupdate f\u00fcr 3CX-Systeme hin (danke daf\u00fcr). Er hat von diesem Hersteller folgenden Hinweis erhalten.<\/p>\n

Dear Liam,<\/p>\n

Our records indicate that you are using a Windows-based 3CX System below v18 Update 3 (Build 450). 3CX systems below this version have been subjected to a security vulnerability.<\/p>\n

We are not aware of any exploitation of this vulnerability to date, and therefore we will not disclose further details of the vulnerability at the moment. This is to protect yourselves and other customers from possible malicious attacks. The reporting entity has also agreed to withhold publicly disclosing the CVE until 21st March 2022<\/b>.<\/p>\n

We urge you to upgrade your 3CX System to v18 Update 3<\/a> (Build 450) or higher as soon as possible, in order to keep your installation secure.<\/p>\n

To upgrade to V18 Update 3<\/b><\/p>\n

Click on \"Updates\" in the Management Console's Dashboard, select \"v18 Update 3 Final\" and click on \"Download Selected\" to install this update on your PBX.<\/p>\n

Regards,<\/p>\n

The 3CX Team<\/p><\/blockquote>\n

Inzwischen gibt es aber wohl 3CX Version 18, Hotfix 1 (Security & Memory), Build 18.0.3.461 March 2022<\/a>, um Schwachstellen zu beheben. Erg\u00e4nzung:<\/strong> Aus der Leserschaft kam die R\u00fcckmeldung, dass das l\u00e4ngst gepatcht sei und wer die Software noch einsetze. Kann ich nicht final beurteilen, da ich das Produkt nicht kenne.<\/p>\n

\"3CX<\/a><\/p>\n

Ich bin aber zum 31. M\u00e4rz 2022 auf obigen Tweet<\/a> bzw. diesen Artikel<\/a> auf Medium gesto\u00dfen. Nutzer @frycos hat schlicht die Suchmaschine Shodan verwendet, um die Erreichbarkeit der \"3CX Phone System Management Console\" aus dem Internet zu \u00fcberpr\u00fcfen. \u00dcber 203 Tausend Instanzen wurden gefunden, davon laufen \u00fcber 31.600 Installationen in Deutschland – dass niemand die noch nutzt, scheint daher eher nicht zu stimmen. Jedenfalls hat @frycos seine Installation unter die Lupe genommen und beschreibt, wie er das System \u00fcber die 3CX Phone System Management Console sicherheitstechnisch auseinander nehmen konnte.<\/p>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Wer unter Windows ein 3CX-System (Telefonanlage) in einer Version unterhalb v18 Update 3 (Build 450) betreibt, sollte reagieren. Der Hersteller hat ein Sicherheitsupdate f\u00fcr dieses Produkt in Form der v18 Update 3 (Build 450) ver\u00f6ffentlicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459,185],"tags":[4328,3836,4315],"class_list":["post-263648","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","category-update","tag-sicherheit","tag-software","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263648","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=263648"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/263648\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=263648"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=263648"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=263648"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}