{"id":289320,"date":"2023-12-16T06:36:45","date_gmt":"2023-12-16T05:36:45","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289320"},"modified":"2023-12-16T19:41:27","modified_gmt":"2023-12-16T18:41:27","slug":"3cx-warnung-sql-datenbankintegrationen-deaktivieren-15-dez-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/16\/3cx-warnung-sql-datenbankintegrationen-deaktivieren-15-dez-2023\/","title":{"rendered":"3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank f\u00fcr CRM-Zwecke in die Software eingebunden haben. Der Hersteller empfiehlt, diese SQL-Datenbankintegration vor\u00fcbergehend zu deaktivieren. Es gibt zwar keine Details, was dort sicherheitstechnisch im Argen liegt, aber der Anbieter beschreibt in einer Sicherheitswarnung detailliert, welche SQL-Datenbanken und Software-Versionen betroffen sind und wie sich die SQL-Anbindung in der Management Console abschalten l\u00e4sst.<\/p>\n

<\/p>\n

Das 3CX-System<\/h2>\n

\"\"Bei 3CX<\/a> handelt es sich um eine softwarebasierte Telefonanlag f\u00fcr Nebenstellen (PBX). Die 3CX-Telefonanlage basiert auf dem SIP-Standard (Session Initiation Protocol). Die L\u00f6sung erm\u00f6glicht es Nebenstellen, Anrufe \u00fcber das \u00f6ffentliche Telefonnetz (PSTN) oder \u00fcber Voice-over-Internet-Protocol-Dienste (VoIP) vor Ort, in der Cloud oder \u00fcber einen Cloud-Dienst zu t\u00e4tigen, der von 3CX betrieben wird. Die 3CX-Telefonanlage ist f\u00fcr Windows, Linux und Raspberry Pi[ erh\u00e4ltlich und unterst\u00fctzt Standard-SIP-Soft-\/Hardphones, VoIP-Dienste, Faxe, Sprach- und Web-Meetings sowie herk\u00f6mmliche PSTN-Telefonleitungen. Details lassen sich auf der Herstellerseite<\/a> abrufen.<\/p>\n

Warnung vor SQL-Datenbankintegration<\/h2>\n

Es gibt wohl Kunden, die eine SQL-Datenbank-Anbindung an das 3CX-System implementiert haben. 3CX gibt an, dass nur 0,25 % der Nutzer eine solche L\u00f6sung zum Customer Relation Management (CRM) verwenden; zumal es sich um eine \"old style\" Integration handeln soll, die f\u00fcr durch eine Firewall gesichertes On-Premises-Netzwerk gedacht sei. Eine solche SQL-Datenbank-Integration ist, je nach Konfigurierung, potentiell angreifbar, schreibt 3CX Pierre Jourdan zum 15. Dezember 2023 im 3CX-Blog-Beitrag Security Advisory: Disable your SQL Database Integrations<\/a>.<\/p>\n

<\/a><\/p>\n

Den Kollegen von Bleeping Computer ist der C3X-Blog-Beitrag aufgefallen und sie weisen in obigem Tweet<\/a> sowie in diesem Beitrag<\/a> auf die Sicherheitswarnung hin. Details zur Schwachstelle oder was das Problem bei der SQL-Datenbankintegration ist, gibt es von 3CX keine. Als betroffen listet der Hersteller folgende SQL-Datenbanken auf:<\/p>\n