DLL-Sideloading-Angriff auf Kunden

3CX warnt vor Angriffen über sein Telefoniesystem

30.03.2023 von Peter Marwan
Die VOIP/PBX-Software von 3CX wird von Unternehmen in 190 Ländern genutzt. Sie ist offenbar von einem Supply-Chain-Angriff betroffen. Der Anbieter empfiehlt, eine hauseigene Alternative zu nutzen und arbeitet an der Fehlerbehebung.
Kunden von 3CX sind von einem Supply-Chain-Angriff auf ihre Telefoniesoftware betroffen.
Foto: Nerza - shutterstock.com

3CX hat Partner und Kunden vor einem Sicherheitsproblem mit der mit dem Update 7 ausgelieferen Electron Windows App gewarnt. Betroffen sind demnach die Versionen 18.12.407 und 18.12.416 der App. Antivirus-Programme erkennen die Datei 3CXDesktopApp.exe als bösartig und haben sie in vielen Fällen deinstalliert.

"Das Problem scheint eine der Bibliotheken zu sein, die wir über GIT in die Windows Electron App kompiliert haben", erklärt 3CX-CISO Pierre Jourdan. "Wir untersuchen die Angelegenheit immer noch, um im Laufe des Tages (30.3.2023 - Anmerkung der Red.) eine ausführlichere Antwort geben zu können."

Jourdan empfiehlt Kunden, zu denen auch Firmen wie Coca-Cola, Ikea, McDonald's, BMW, Mercedes-Benz und Honda gehören, vorerst die PWA App von 3CX zu nutzen. Sie sei vollständig webbasiert und biete 95 Prozent der Funktionen der Electron App. "Derzeit arbeiten wir an einer neuen Windows-App, die das Problem nicht aufweist. Wir haben uns auch entschieden, ein neues Zertifikat für diese App auszustellen. Dies wird die Dinge um mindestens 24 Stunden verzögern, also haben Sie bitte etwas Geduld mit uns", sagt Jourdan.

Einschätzungen von Sophos, Check Point und G Data

"Den Angreifern ist es gelungen, die Anwendung zu manipulieren, um ein Installationsprogramm hinzuzufügen, das DLL-Sideloading verwendet", erklärt Mat Gangwer, Vice President Managed Threat Response bei Sophos, das an der Identifikation des Problems beteiligt war, zu dem Fall. "Durch diese Hintertür wird schließlich eine schädliche, verschlüsselte Nutzlast abgerufen. Diese Taktik ist nicht neu, sie ähnelt der DLL-Sideloading-Aktivität, die bereits bei anderen Attacken zum Einsatz kam."

Die Software von 3CX ist eine PBX, die unter Windows, Linux, Android und iOS verfügbar ist. Laut Sophios sind derzeit nur Windows-Systeme von dem Angriff betroffen. "Die Anwendung wurde von den Angreifern missbraucht, um ein Installationsprogramm hinzuzufügen, das mit verschiedenen Command-and-Control-Servern kommuniziert. Bei der aktuellen Attacke handelt es sich um eine digital signierte Version des Softphone-Desktop-Clients für Windows, die einen bösartigen Payload enthält. Die bisher am häufigsten beobachtete Aktivität nach Ausnutzung der Sicherheitslücke ist das Aktivieren einer interaktiven Befehlszeilenoberfläche (Command Shell)", teilt Sophos mit.

Die von der 3CX-Desktop-App ausgehenden Aktivitäten gegen seine Kunden identifizierte Sophos erstmals am 29. März 2023. Bei der Attacke wird ein öffentlicher Dateispeicher zum Hosten verschlüsselter Malware genutzt. Dieses Repository wird seit 8. Dezember 2022 verwendet.

"Der Angriff selbst basiert auf einem DLL-Sideloading-Szenario mit einer bemerkenswerten Anzahl beteiligter Komponenten", erklärt Gangwer. "Dies sollte wahrscheinlich sicherstellen, dass Kunden das 3CX-Desktop-Paket verwenden konnten, ohne etwas Ungewöhnliches zu bemerken." Details zu dem Angriff und wie er sich erkennen lässt, hat Sophos in einem Blog-Beitrag veröffentlicht.

Auch Check Point Software erkennt und blockiert die infizierten Dateien bereits. Lotem Finkelstein, Director of Threat Intelligence & Research bei Check Point Software, kommentiert: "Dies ist ein klassischer Angriff auf die Lieferkette, der darauf abzielt, Vertrauensbeziehungen zwischen einem Unternehmen und externen Parteien auszunutzen, einschließlich Partnerschaften mit Anbietern oder der Verwendung von Software von Drittanbietern, auf die die meisten Unternehmen in irgendeiner Weise angewiesen sind."

"Der Vorfall erinnert uns daran, wie wichtig es ist, dass wir unsere Geschäftspartner genau unter die Lupe nehmen. Allein die Frage, was sie für die Cybersicherheit ihres Unternehmens tun, kann das Risiko für Ihr Unternehmen begrenzen, da Bedrohungsakteure ein Unternehmen kompromittieren und sich dann die Lieferkette hocharbeiten", empfiehlt Finkelstein.

Auch G Data hat sich das Sicherheitsproblem bereits angesehen. "Ist der Schadcode im System, installiert das kompromittierte System eine Hintertür und lädt weitere Malware nach. Auch der Einsatz eines Infostealers wurde beobachtet. Der Stealer sammelt Systeminformationen sowie Daten und kopiert Anmeldeinformationen von verschiedenen Webbrowsern", teilt das Unternehmen mit.

Karsten Hahn, Lead Engineer Prevention, Detection and Response bei G Data CyberDefense, empfiehlt Kunden umgehend zu prüfen, welche Versionen sie installiert hatten. "Wer bereits eine der oben genannten Versionen (18.12.407 und 18.12.416 Anmerkung der Red.) genutzt hat, sollte von einer Kompromittierung der Systeme ausgehen, da selbst nach einem Update der 3CX-Desktop-App auf die neueste Version eventuelle Hintertüren weiterhin bestehen."