[Info] 3cx gehackt!!! (Offiziell bestätigt)

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Was fängt man nun als Normalnutzer mit diesen Informationen an, wenn man *ohne installiertes 3CX* am angegebenen Ort mehrere Dateien mit der angegebenen Namensstruktur findet?
 
  • Like
Reaktionen: mipo
Alle diese Dateien sofort löschen! ;)
 
Zuletzt bearbeitet:
Bei dem Link steht u.a. "Dies beinhaltet auch keine Garantien hinsichtlich der Fehlalarmraten sowie der Abdeckung für diese gesamte Malware-Familie und eventuelle Varianten.". Mit dem "sofort löschen" wäre ich da vorsichtig. Wenn die "gefundenen" Dateien schon 1-2 Wochen alt sind, kannst du dich sowieso zurücklehnen und dem neuen Botnetz-Mitglied bei der Arbeit zusehen.
 
Diese Informationen sind gelinde gesagt, eine Frechheit! Natürlich ist das mit Sicherheit eine forensische Informationen, die zwar sehr wichtig sind doch dem Enduser bringen die überhaupt nichts. Das beschriebene Verzeichnis ist voller Dateien bei mir, woher soll der User wissen ob und wenn ja welche Datei überhaupt verseucht ist?

Hier fehlt eindeutig ein Tool von 3CX zur sicheren Entfernung und deinstallation des VoIP Clients ...
 
Nochmals Klartext:
Ist der PC eindeutig befallen, hat man bereits ganz andere Sorgen, als "ein Tool von 3CX zur sicheren Entfernung und deinstallation des VoIP Clients" zu bekommen.
Ist er nicht befallen, weil man z.B. das 3CX-Auto-Update gar nicht aktiviert hatte, muss man gar nichts unternehmen.
Wieso sollte eigentlich ein VoIP-Client für eine einzelne TK-Anlage ständig Updates bekommen? Ist es etwa so wie z.B. bei Adobe, wo der Reader stündlich nachschaut, was man so macht?
 
mipo schrieb:
Diese Informationen sind gelinde gesagt, eine Frechheit! Natürlich ist das mit Sicherheit eine forensische Informationen, die zwar sehr wichtig sind doch dem Enduser bringen die überhaupt nichts. Das beschriebene Verzeichnis ist voller Dateien bei mir, woher soll der User wissen ob und wenn ja welche Datei überhaupt verseucht ist?

Hier fehlt eindeutig ein Tool von 3CX zur sicheren Entfernung und deinstallation des VoIP Clients ...
Zum Vergrößern anklicken....
1. Die Untersuchung läuft noch. Es sind nur Zwischenergebnisse. Daher kann man ein solches Tool nicht erwarten.
2. Die Informationen sind sehr spezifisch weil dies so sein muss. Als Kunde hat man in der Regel einen Partner, der sich darum kümmern sollte, sollte das Szstem befallen sein.
 
@MrSenser Du hast natürlich recht ... Besser solch eine Information als "Schweigen im Walde" - ganz klar. Nur den Partner möchte ich sehen, der auch nur annähernd mit diesen Informationen den möglichen Befall identifizieren kann. Aber richtig ... es ist sehr schwer hier den richtigen Weg zu finden.
 
  • Like
Reaktionen: MrSenser
Wir haben in unseren Testsystemen das Nachladen von Schadcode durch die beiden befallenen DLLs eindeutig feststellen können.

Da unsere Systeme nur ein Whitelisting erlauben, wurden diese Downloads aber gestoppt.

Wer allerdings eine andere Sicherheitsstrategie fährt, hat (!) damit zu rechnen, dass Schadcode auf dem Rechner vorhanden ist!!!

Gaengige Test/Virensoftware ala Desinfect, Malwarebytes oder auch der Sophos Virenclient haben zwar die beiden DLLs entfernt, den Schadcode (nach bewusster Öffnung der Sicherheitsstrategie) NICHT entdeckt!!!

Ok, die jeweiligen Virenpattern (unsere Tests) waren von vor-WE und möglicherweise erkennen die das jetzt.

Aber die Hand ins Feuer legen würde ich nicht.

Bedeutet für alle 3cx User (mit den betroffenen Desktop App Clients):

RECHNER so NICHT MEHR VERWENDEN!

FAZIT:
Die alleinige De-Installation (was mit dem Microsoft „Troubleshooter“ Tool problemlos geht, auch wenn die Installer-MSI bereits gelöscht wurde etc.) bzw. Quarantäne der beiden DLLs fuehrt also NICHT zu einem sicheren System!!!

Und DAS sagt 3cx so nicht wirklich! Und ja, hier sind die in meinen Augen unverantwortlich!

JMT
 
Zuletzt bearbeitet:
Irgendwie habe ich den Eindruck, dass die 3cx Partner und auch Anwender dieses echte Risiko kaum wahrnehmen.

Hier keine wirkliche Diskussion. Im Original 3cx Forum auf deren Webseite aber auch nicht.

Außer bei der Aufforderung an der Connect Leserwahl mitzumachen. Da gab’s jetzt mal was Kritisches.


Eure Systeme sind - definitiv - gehackt!
Nutzt diese nicht weiter!

Eine Deinstallation und Wechsel auf die PWA etc. reicht nicht!
 
  • Like
Reaktionen: mipo und FlyingToaster
www.borncity.com

Die 3CX MySQL-Sicherheitslücke und der Umgang mit Kritik durch den Anbieter

[English]Kürzlich gab es eine Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank für CRM-Zwecke in die Software eingebunden haben. Ich hatte über den Sachverhalt im Blog-Beitrag 3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023) berichtet. Nutzer der 3CX-Sof
www.borncity.com
 
Da zwischen 21. April und heute hier nichts weiter zu dem Thema gepostet wurde: Sind denn die gängigen Virenscanner inzwischen in der Lage, infizierte Dateien im \TxR-Ordner und anderswo zu erkennen und diese ggfs. zu bereinigen?

Oder gibt es inzwischen Drittanbieter-Tools, die die Dateien auf ungewöhliche Einträge überprüfen, diese auflisten und ggfs. entfernen können, ohne dass das System dann unbenutzbar wird? Die "TxR.?.regtrans-ms"-Dateien haben doch einen regulären Zweck, oder?
 
Das ist wohl was Neues!
www.bleepingcomputer.com

3CX warns customers to disable SQL database integrations

VoIP communications company 3CX warned customers today to disable SQL database integrations due to potential risks associated with what it describes as a potential vulnerability.
www.bleepingcomputer.com www.bleepingcomputer.com
www.borncity.com

3CX-Warnung: SQL-Datenbankintegrationen deaktivieren (15. Dez. 2023)

[English]Warnung an Kunden des Telefonanlagen-Anbieters 3CX, die eine SQL-Datenbank für CRM-Zwecke in die Software eingebunden haben. Der Hersteller empfiehlt, diese SQL-Datenbankintegration vorübergehend zu deaktivieren. Es gibt zwar keine Details, was dort sicherheitstechnisch im Argen liegt, aber
www.borncity.com
 
Auch bei dieser Lücke (vom 11. Oktober 2023) hat 3CX zwei Monate lang nicht angemessen auf die Meldung reagiert, nicht mal auf die Kontaktaufnahme des CERT.
Gibt es da keine rechtlichen Vorgaben, wie zu reagieren ist und ggfs. Strafen bei Ausbleiben der Reaktionen?
 
Ein Update wird doch ausgerollt, das ist doch angemessen? Weiß dank Urlaub nur nicht seit wann...
1704187889151.png
 
Um antworten zu können musst du eingeloggt sein.

Zurzeit aktive Besucher

Gesamt: 750 (Mitglieder: 31, Gäste: 719)

Neueste Beiträge

Statistik des Forums

Themen
244,880
Beiträge
2,220,048
Mitglieder
371,605
Neuestes Mitglied
michaelwarwel
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück