Op 30 maart heeft Cybersecuritybedrijf CrowdStrike aangegeven een digitale aanval op gebruikers van het softwarepakket 3CX te hebben waargenomen. Deze aanval wordt ook wel een supply chain attack genoemd – waarbij de distributie en/of update-kanalen van een softwareleverancier misbruikt worden om malafide software te verspreiden.
3CX is een veelgebruikte en uitgebreide Voice-over-IP (VoIP) softwareoplossing voor bedrijven, die onder andere wordt gebruikt door telefooncentrales. NFIR adviseert gebruikers van deze software om direct actie te ondernemen. De aanval heeft het CVE-nummer CVE-2023-29059 toegewezen gekregen.
| Product | Platform |
| 3CX versie 18.12.407 3CX versie 18.12.416 |
Electron Windows |
| 3CX versie 18.11.1213 | Electron MacOS 18.11 |
| 3CX versie 18.12.402 3CX versie 18.12.407 3CX versie 18.12.416 |
Electron MacOS 18.12 |
Hoe stel ik vast of 3CX gebruikt wordt binnen mijn organisatie?
Het is middels de volgende commando’s mogelijk om de aanwezigheid vast te stellen van 3CX op apparaten binnen uw organisatie:
Windows-systemen
# Controle of er een actief proces is gerelateerd aan 3CX
Get-WmiObject -Class Win32_Process -Filter "Name='3CXDesktopApp.exe'"
# Controle op Windows-register
Get-ItemProperty -Path 'HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\*' -ErrorAction SilentlyContinue | Where-Object { $_.DisplayName -like '3CX Desktop App' }
# Controle op de 3CX gebruikersprofielen
Test-Path -Path C:\Users\*\appdata\local\programs\3cxdesktopapp\
MacOS-systemen
# Controle op aanwezigheid van programma op MacOS in /Applications
ls '/Applications' | grep '3CX'
# Controle op aanwezigheid van een map binnen Application support folder
if [ -d /Users/*/Library/Application\ Support/3CX\ Desktop\ App/ ]; then echo "3CXDesktop exists"; fi
Hoe detecteer ik mogelijk misbruik binnen mijn organisatie?
| Domeinnamen | |
| akamaicontainer[.]com | msedgepackageinfo[.]com |
| akamaitechcloudservices[.]com | msstorageazure[.]com |
| azuredeploystore[.]com | msstorageboxes[.]com |
| azureonlinecloud[.]com | officeaddons[.]com |
| azureonlinestorage[.]com | officestoragebox[.]com |
| dunamistrd[.]com | pbxcloudeservices[.]com |
| glcloudservice[.]com | pbxphonenetwork[.]com |
| qwepoi123098[.]com | zacharryblogs[.]com |
| sbmsa[.]wiki | pbxsources[.]com |
| sourceslabs[.]com | journalide[.]org |
| visualstudiofactory[.]com | |
Is er een actieplan wat uw organisatie kan volgen?
Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:
- Controleer de publiek beschikbare Indicators-of-Compromise (IoC’s) op uw systemen om vast te stellen of er systemen mogelijk gecompromitteerd zijn, of laat extern preventief onderzoek uitvoeren naar uw systemen.
- In navolging op het advies van het NCSC adviseert NFIR om de malafide versies van de 3CX software te verwijderen en te wachten tot er een ‘veilige’ versie door de software-leverancier wordt gepubliceerd – in de tussentijd adviseert 3CX om gebruik te maken van de PWA-variant van de applicatie - 3CX Security Alert for Electron Windows App | Desktop App.
- Bereid uw organisatie voor op de situatie dat er onverwacht patches uitgevoerd dienen te worden (buiten de reguliere update-timeframes) en pas patches gecontroleerd toe volgens de voor uw organisatie gebruikelijke procedure.
- Indien uw organisatie gebruikmaakt van 3CX adviseert NFIR om altijd forensisch onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is.
Heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.
Wat moet uw organisatie doen bij mogelijk misbruik?
Als uw organisatie vermoedelijk het slachtoffer is geworden van een aanval, is het dringende advies om onderzoek uit te laten voeren naar de toedracht, in hoeverre aanvallers mogelijk andere systemen hebben gecompromitteerd en welke informatie mogelijk ongeautoriseerd geraadpleegd is.
- Koppel indien mogelijk de getroffen systemen los van het netwerk, maar laat deze aan staan (in verband met eventuele sporen zoals het vluchtige geheugen – RAM);
- Laat de getroffen systemen forensisch onderzoeken; zorg voor adequate back-ups;
- Reset uw wachtwoorden en gebruikersgegevens;
- Doe aangifte bij de Politie;
- Overweeg een melding te doen bij de Autoriteit Persoonsgegevens.
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams
(CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen.
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.
Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.
