{"id":311909,"date":"2025-05-27T00:03:49","date_gmt":"2025-05-26T22:03:49","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=311909"},"modified":"2025-05-26T23:50:31","modified_gmt":"2025-05-26T21:50:31","slug":"angriffe-auf-3cx-telefonanlagen-seit-mitte-mai-2025","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/05\/27\/angriffe-auf-3cx-telefonanlagen-seit-mitte-mai-2025\/","title":{"rendered":"Angriffe auf 3CX-Telefonanlagen seit Mitte Mai 2025?"},"content":{"rendered":"

\"Sicherheit[English]Noch ein kurzer Nachtrag von Mitte Mai 2025. Ein Leser informierte mich, dass er wohl Angriffsversuche auf 3CX-Telefonanlagen in seinen Log-Dateien festgestellt hat. Es scheinen weltweite Zugriffsversuche zu sein, wie Diskussionen in Internetforen nahelegen. Ich fasse mal die verf\u00fcgbaren Informationen zusammen.<\/p>\n

<\/p>\n

Was ist 3CX?<\/h2>\n

\"\"3CX ist ein Softwareentwicklungsunternehmen und Entwickler der gleichnamigen 3CX Telefonanlagen-Software. Es ist ein komplettes Gesch\u00e4ftskommunikationssystems, das Telefonanrufe, Videokonferenzen, Live-Chat, Facebook und die Integration eingehender WhatsApp-Nachrichten umfasst. Das Unternehmen wurde 2005 gegr\u00fcndet, residiert auf Zypern und hat laut Wikipedia ca. 200 Besch\u00e4ftigte (Stand 2018).<\/p>\n

Hinweis auf Angriffe<\/h2>\n

Blog-Leser Aaron G. hat mich bereits zum 13. Mai 2025 per Mail kontaktiert (danke daf\u00fcr, ist hier etwas liegen geblieben), weil ihm Merkw\u00fcrdigkeiten in den logs von 3CX- Telefonanlagen aufgefallen waren. Er schrieb, dass \"in letzter Zeit (mal wieder am letzten Wochenende)\" 3CX-Telefonanlagen angegriffen wurden. In seinem Umfeld konnte der Leser das\u00a0Problem bei verschiedenen Kundenanlagen nachvollziehen, wo folgends im log zu finden war:<\/p>\n

Unidentified Incoming Call. Review INVITE and adjust source identification: INVITE sip:0018163016305@xx.xx.xx.xx SIP\/2.0 Via: SIP\/2.0\/UDP xx.xx.xx.xx:5060;branch=z9hG4bK626440;received=172.86.68.235<\/strong> Max-Forwards: 70 Contact: <sip:1001@xx.xx.xx.xx:5060> To: <sip:0018163016305@xx.xx.xx.xx> From: <sip:1001@xx.xx.xx.xx>;tag=945943 Call-ID: 3774@xx.xx.xx.xx CSeq: 1 INVITE Content-Type: application\/sdp Content-Length: 390 v=0 o=- 0 0 IN IP4 127.0.0.1 s=VoIP Call c=IN IP4 127.0.0.1 t=0 0 m=audio 4000 RTP\/AVP 0 8 18 3 4 101 9 97 98 109 a=rtpmap:0 PCMU\/8000 a=rtpmap:8 PCMA\/8000 a=rtpmap:18 G729\/8000 a=rtpmap:3 GSM\/8000 a=rtpmap:4 G723\/8000 a=rtpmap:101 telephone-event\/8000 a=fmtp:101 0-15 a=rtpmap:9 G722\/8000 a=rtpmap:97 iLBC\/8000 a=rtpmap:98 speex\/8000 a=rtpmap:109 opus\/48000\/2 a=sendrecv<\/p><\/blockquote>\n

In obigem Auszug wurde die IP-Adresse des Kunden durch\u00a0xx.xx.xx.xx ersetzt. Die IP, von der der Angriff kam, ist die 172.86.68.235. Der Leser hat mir folgendes\u00a0Beispiel aus dem Call-Log mitgeschickt:<\/p>\n

\"3CX-Log\"<\/a><\/p>\n

Der Leser schrieb, dass der Angriff bei einem seiner Kunden leider erfolgreich war und unz\u00e4hlige Anrufe gestartet wurden.\u00a0Warum die 3CX-Telefonanlage den Anruf auf einer Leitung durchstellte, ist bisher unklar. Gl\u00fcck f\u00fcr den Kunden, dass der Provider am Ende die Verbindungen dann geblockt hat, so dass keine Kosten aufliefen.<\/p>\n

Auch Meldungen in Foren<\/h2>\n

Der Blog-Leser hat mir dann noch einen Link auf den 3CD-Foren-Thread Angriffe auf 3CX-Anlagen<\/a> mitgeschickt, wo ein massiver Versuch per SIP-intrusion Anrufe zu t\u00e4tigen \u00fcber mehrere Anfragen \u00fcber s\u00e4mtliche Telefonanlagen hinweg unter #5 berichtet wurde.<\/p>\n

Weiterhin gibt es auf reddit.com den Thread Some customer extensions hacked. Zero day?<\/a>, wo ein Betroffener bereits vor f\u00fcnf Monaten (also Anfang 2025) von einer \u00e4hnlichen Beobachtung berichtete. Der Betroffene berichtet, dass er\u00a0einige Systeme mit gehackter Erweiterung habe, von denen Anrufe nach Frankreich und Italien get\u00e4tigt wurden. Seltsam sei, dass es in mehreren Systemen der Versionen v18 und v20 passierte.<\/p>\n

\u00c4hnliche Artikel<\/strong>
\nDie 3CX MySQL-Sicherheitsl\u00fccke und der Umgang mit Kritik durch den Anbieter<\/a>
\n3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)<\/a>
\nKickt 3CX Partner mit mangelndem Umsatz?<\/a>
\n3CX: Update-Zwang f\u00fcr NFR-Lizenz auf Version 20 seit 15.11.2024<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Noch ein kurzer Nachtrag von Mitte Mai 2025. Ein Leser informierte mich, dass er wohl Angriffsversuche auf 3CX-Telefonanlagen in seinen Log-Dateien festgestellt hat. Es scheinen weltweite Zugriffsversuche zu sein, wie Diskussionen in Internetforen nahelegen. Ich fasse mal die verf\u00fcgbaren Informationen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-311909","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=311909"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/311909\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=311909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=311909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=311909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}