News

BSI erhöht Bedrohungslage auf “3 / Orange”: Trojaner in 3CX-Softphone-App entdeckt

April 3, 2023

Die weit verbreitete Softphone-App von 3CX, die von rund 600.000 Kunden und 12 Millionen täglichen Nutzern weltweit verwendet wird, enthielt Schadcode. Der Trojaner, der von der nordkoreanischen Hackergruppe Lazarus in die Software eingeschleust wurde, lädt einen Infostealer nach, der unter anderem Informationen aus verschiedenen Browsern auslesen kann. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die IT-Bedrohungslage auf “3 / Orange” erhöht, was bedeutet, dass die Bedrohungslage geschäftskritisch ist und den Regelbetrieb massiv beeinträchtigen kann.

Welche Versionen der Software sind betroffen?

Der Schadcode betrifft nicht nur die Windows-Versionen 18.12.407 und 18.12.416, sondern auch die MacOS-Versionen 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 der Softphone-App. Das bedeutet, dass Nutzer beider Betriebssysteme betroffen sein können.

Was sollten Nutzer tun?

Wenn Nutzer die infizierte App verwendet haben, sollten sie ihre Systeme unverzüglich von allen Netzen trennen und nach möglichen Hinterlassenschaften suchen. Es wird dringend empfohlen, professionelle Hilfe zur Incident Response hinzuzuziehen, falls eine Kompromittierung vorliegt. Eine Liste der Indicators of Compromise (IoCs), die auf eine Kompromittierung hinweisen, ist ebenfalls verfügbar.

Jetzt sicher surfen

Ihr mobiler VPN Router
Unser DN8 PrivacyCube

PrivacyCube ansehen

Ab 6,99 €

Wie reagiert der Hersteller?

Die Firma 3CX betont in ihrem “Security Alert”, dass die Mehrzahl der kontaktierten Domains bereits stillgelegt wurde. Laut dem Hersteller seien die überwiegende Mehrzahl der betroffenen Systeme tatsächlich nie infiziert worden, obwohl die trojanisierten Dateien vorhanden waren. Es bleibt jedoch abzuwarten, ob dies tatsächlich der Fall ist. 3CX hat in dieser Angelegenheit keine gute Figur gemacht, da Kunden bereits vor einer Woche Alarme von Antiviren-Software beim Einsatz der 3CX-Software meldeten, ohne dass es eine Reaktion gab. Außerdem speichert die Software Passwörter immer noch im Klartext, was definitiv nicht dem von der DSGVO geforderten Stand der Technik entspricht.

Wie kann man unliebsame Hinterlassenschaften finden?

Die Suche nach unliebsamen Hinterlassenschaften kann mit Desinfec’t am einfachsten gestaltet werden. Das enthält den Scanner Thor Lite, der mit den aktuellen Signaturen nicht nur die trojanisierten 3CX-Dateien erkennt, sondern auch die nachgeladenen Hinterlassenschaften wie den Infostealer.

Fazit

Es ist ratsam, dass Nutzer, die die Softphone-App von 3CX verwenden, ihre Systeme auf mögliche Kompromittierungen untersuchen. Es ist wichtig, die Liste der Indicators of Compromise zu überprüfen und professionelle Hilfe in Anspruch zu nehmen, wenn eine Kompromittierung vorliegt. Unternehmen sollten auch überlegen, ob sie die Software von 3CX weiterhin einsetzen wollen, insbesondere angesichts der Tatsache, dass der Hersteller Passwörter immer noch im Klartext speichert, was den Anforderungen der DSGVO nicht entspricht.

Es ist wichtig, dass Unternehmen bei der Auswahl von Softwareanbietern auf deren Sicherheitsmaßnahmen achten. Ein sicherer Ansatz wäre, sich für einen Anbieter zu entscheiden, der sichere Codierungspraktiken anwendet und regelmäßig Sicherheitsupdates veröffentlicht, um sicherzustellen, dass ihre Software frei von Schwachstellen und Schadcode ist.

Insgesamt unterstreicht der Vorfall mit der 3CX-Softphone-App die Bedeutung von Cybersecurity und die Notwendigkeit, stets wachsam zu sein und schnell zu handeln, wenn Sicherheitsbedrohungen entdeckt werden.