{"id":289783,"date":"2023-12-31T00:01:00","date_gmt":"2023-12-30T23:01:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=289783"},"modified":"2024-01-05T10:22:21","modified_gmt":"2024-01-05T09:22:21","slug":"die-3cx-mysql-sicherheitslcke-und-der-umgang-mit-kritik-durch-den-anbieter","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/12\/31\/die-3cx-mysql-sicherheitslcke-und-der-umgang-mit-kritik-durch-den-anbieter\/","title":{"rendered":"Die 3CX MySQL-Sicherheitslücke und der Umgang mit Kritik durch den Anbieter"},"content":{"rendered":"

\"Stop[English<\/a>]K\u00fcrzlich gab es eine Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank f\u00fcr CRM-Zwecke in die Software eingebunden haben. Ich hatte \u00fcber den Sachverhalt im Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)<\/a> berichtet. Nutzer der 3CX-Software beklagten sich \u00fcber die schleppende Bearbeitung der fr\u00fchzeitig gemeldeten Sicherheitsl\u00fccke. Ein Nutzer hat mich im Nachgang dann per Mail kontaktiert, weil\u00a0 auf Kritik im Forum des Anbieters sehr speziell reagiert wurde: Die Beitr\u00e4ge wurden gel\u00f6scht. Und der Account des Lesers wurde auch gesperrt – aber das Ganze l\u00e4sst sich rekapitulieren, was ich nachfolgend getan habe.<\/p>\n

<\/p>\n

Hintergrundinformationen zu 3CX<\/h2>\n

\"\"3CX ist ein Softwareentwicklungsunternehmen und Entwickler der gleichnamigen 3CX Telefonanlagen-Software. Es ist ein komplettes Gesch\u00e4ftskommunikationssystems, das Telefonanrufe, Videokonferenzen, Live-Chat, Facebook und die Integration eingehender WhatsApp-Nachrichten umfasst. Das Unternehmen wurde 2005 gegr\u00fcndet und hat laut Wikipedia ca. 200 Besch\u00e4ftigte (Stand 2018).<\/p>\n

Einerseits scheint die 3CX Telefonanlagen-Software im breiteren Einsatz zu sein. Anderseits ist 3CX 2023 durch zwei Sicherheitsl\u00fccken aufgefallen (siehe Links am Artikelende). Die schleppende Bearbeitung einer Sicherheitsl\u00fccke bei der 3CX MySQL-Integration (siehe Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)<\/a>) hat zu Kopfsch\u00fctteln und \u00c4rger bei verschiedenen Nutzern gef\u00fchrt – wie ich an Reaktionen von Administratoren auf Facebook festgestellt habe.<\/p>\n

Kritik im 3CX-Forum nicht erw\u00fcnscht<\/h2>\n

Blog-Leser J\u00f6rn V. hat mich vor Weihnachten per E-Mail kontaktiert, weil er die Sicherheitsl\u00fccke CVE-2023-4995<\/a> mitbekommen hatte und dann den Fall auch in den 3CX-Foren verfolgte. Dort gibt es seit dem 15. Dezember 2023 den Thread Security Vulnerability – SQL Integration<\/a> zum Thema. Mag f\u00fcr den einen oder anderen Nutzer hilfreich sein, die Forenbeitr\u00e4ge durchzugehen.<\/p>\n

J\u00f6rn schrieb mir aber, dass am Freitag 15.12.2023 zwei kritische Beitr\u00e4ge als Reaktion auf die neue Sicherheitsl\u00fccke und den Umgang von 3CX damit auftauchten. Kurz danach seien die beiden Beitr\u00e4ge wieder verschwunden, teilte mir der Leser mit.<\/p>\n

\"3CX<\/p>\n

Ich habe in obigem Screenshot mal die aktuelle Timeline als Auszug zwischen mehreren Posts dargestellt. Nun kann es ja durchaus Gr\u00fcnde geben, warum Beitr\u00e4ge gel\u00f6scht werden (m\u00fcssen).<\/p>\n

Als Blog-Betreiber stehe ich gelegentlich auch vor der Notwendigkeit, Kommentare l\u00f6schen (oder bereits in der Moderation blockieren und gleich l\u00f6schen) zu m\u00fcssen. Das reicht von SEO-Kommentar-Spam zu Diskussionen, die in Pers\u00f6nliches ausarten oder irgendwie sonst abdriften. Wenn jemand meint, an seinen wenigen Zeilen umfassenden Kommentar komplette Psalmen oder Ausz\u00fcge aus den Evangelien anh\u00e4ngen zu m\u00fcssen, wird es in einem IT-Blog schwierig – um einen aktuellen Fall aufzugreifen. Ich habe diesen Teil im Kommentar gel\u00f6scht und gebeten, bitte auf so etwas zu verzichten – worauf der Betroffene mit Unverst\u00e4ndnis reagierte. Gl\u00fccklicherweise habe ich Mechanismen im Blog, um entsprechend zu filtern und Nutzer auch zu sperren. Als der n\u00e4chste Kommentar mit einem religi\u00f6sen Auszug einschlug, wurde die betreffende Person gesperrt und ich habe beide Kommentare gel\u00f6scht. Gibt einige weitere – aus meiner Sicht unerfreuliche Vorf\u00e4lle, wo ich als Blog-Betreiber eingreifen musste – macht mir keine Freude und die Betroffenen schreien u.U. per Mail Zeter und Mordio – l\u00f6sche ich inzwischen rigoros und ungelesen. Kommentare bleiben nach dem L\u00f6schen \u00fcbrigens in der Regel noch einige Tage im Papierkorb, und ich lese die dann, nachdem ich das Ganze ggf. mehrfach \u00fcberschlafen habe. Manchmal gebe ich einen Kommentar dann doch frei – manchmal wird endg\u00fcltig gel\u00f6scht. So viel Einblick \"in den Maschinenraum des Blogs\" Ich habe daher durchaus eine dedizierte Sichtweise auf das hier gegenst\u00e4ndliche Thema \"L\u00f6schungen im 3CX-Forum\".<\/p><\/blockquote>\n

Der Blog-Leser wies mich aber darauf hin, dass das Ganze vom Internet-Archiv per Schnappschuss gesichert wurde – das Ergebnis ist hier<\/a> abrufbar. Nachfolgender Screenshot zeigt diese Stelle.<\/p>\n

\"Deleted<\/p>\n

Ich kann da ad-hoc nichts erkennen, was ein L\u00f6schen rechtfertigen kann. Das die Timeline bei der Aufdeckung der Schwachstelle bis zur Reaktion von 3CX f\u00fcr das Unternehmen keinesfalls schmeichelhaft war, hatte ich in meinem Blog-Beitrag auch thematisiert. Und es sollte auch die Frage gestellt werden d\u00fcrfen, warum eine CERT ein Unternehmen wie 3CX 45 Tage lang nicht erreichen konnte.<\/p>\n

\"Deleted<\/p>\n

Das Verschwinden der Beitr\u00e4ge hat den Leser dann dazu motiviert, auch einen Beitrag zum Thema zu schreiben (siehe obigen Screenshot). Man k\u00f6nnte jetzt raten, was passiert: Nach zwei Stunden war dann auch dieser Beitrag wieder verschwunden.<\/p>\n

3CX mag anscheinend keine kritischen Stimmen zum Thema, schloss der Leser daraus. Aber es kommt noch bemerkenswerter, wie der Leser feststellen musste. Dazu schrieb J\u00f6rg, dass 3CX (vermutlich als Reaktion auf kritische Stimmen im Forum in der Vergangenheit) vor einiger Zeit seine Forumsregeln dahingehend ge\u00e4ndert hat, dass man nur als Kunde mit 3CX-Abonnement dort posten kann.<\/p>\n

Free Account und Lizenz gesperrt<\/h2>\n

Der Leser hatte f\u00fcr das Posten seines Beitrags einen Account verwendet, der auf einer 3CX Free Subscription basierte (die gibt es inzwischen nicht mehr, war nur noch f\u00fcr \"Bestandskunden\" m\u00f6glich). Nach dem L\u00f6schen des Beitrags durch 3CX war der Account des Leser im Forum nat\u00fcrlich direkt gesperrt, Begr\u00fcndung \"SPAM\".<\/p>\n

Der Leser hatte noch eine Mail von Nick Galea (3CX CEO) pers\u00f6nlich im Postfach, das f\u00fcr den nun gesperrten Account hinterlegt war. Der Inhalt der Mail war wie folgt:<\/p>\n

Please find another product to use rather then our free license.<\/p>\n

regards,<\/p>\n

Nick galea<\/p><\/blockquote>\n

Der Leser schreibt, dass demzufolge Nick Galea mutma\u00dflich pers\u00f6nlich die Free Subscription f\u00fcr den Account gecancelt habe und vermutet, dass die Kritik den CEO getroffen habe. Der Leser z\u00e4hlt die dem letzten 3CX-Sicherheitsdesaster (Supply Chain Attack auf die 3CX Desktop App, siehe meine Links am Artikelende) und den neuen Vorfall auf.<\/p>\n

3CX-Sicherheitsinitiative Schall und Rauch?<\/h2>\n

Der Leser verwies auf den Post Actions not words – Our 7 Step Security Action Plan!<\/a> von Galea im April 2023, als Reaktion auf den Supply-Chain-Angriff. Sollte damals eine gro\u00dfe Kehrtwende in Sachen Sicherheit bei 3CX werden. In obigem Kontext sieht es aber f\u00fcr mich nicht so aus, als ob der CEO auch wirklich Taten folgen lassen will.<\/p>\n

Der Leser meint dazu: \"Ich finde auch anderen Nutzer von 3CX sollten sich einen Eindruck machen k\u00f6nnen, wie 3CX wirklich zum Thema Sicherheit steht und wie man mit kritischen Stimmen zum Thema umgeht.\"<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nSchwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt<\/a>
\n3CX Desktop-App in Supply-Chain-Attack infiziert (29. M\u00e4rz 2023)<\/a>
\nErg\u00e4nzende Informationen zur kompromittierten 3CX Desktop-App<\/a>
\n3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)<\/a>
\n31.000 3CX-Telefonanlagen in Deutschland per Internet erreichbar<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]K\u00fcrzlich gab es eine Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank f\u00fcr CRM-Zwecke in die Software eingebunden haben. Ich hatte \u00fcber den Sachverhalt im Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023) berichtet. Nutzer der 3CX-Software beklagten sich \u00fcber … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7459],"tags":[4293,3836],"class_list":["post-289783","post","type-post","status-publish","format-standard","hentry","category-software","tag-allgemein","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289783","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=289783"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/289783\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=289783"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=289783"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=289783"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}