Alarmstufe Orange: Trojaner in 3CX-Software betrifft 600.000 Unternehmen

Einer Hackergruppe ist es gelungen, den VoIP-Client 3CX für Windows und MacOS zu trojanisieren (CVE-2023-29059). 3CX bietet VoIP- und PBX-Dienste für über 600.000 Unternehmen an, darunter auch namhafte Firmen wie Ikea, McDonalds, BMW, American Express oder Mercedes-Benz.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stufte die IT-Bedrohungslage daraufhin mit "3 / Orange" ein. "Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs", definiert das BSI die dritte von vier Einstufungen der IT-Bedrohungslage.

Laut dem Hersteller 3CX sind unter Windows die Versionen 18.12.407 und 18.12.416, sowie unter MacOS die Versionen 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 betroffen. Der Hersteller rät, die Anwendungen für Windows und MacOS umgehend zu deinstallieren und die Web-Applikation (PWA) von 3CX zu nutzen. Zudem sollten die Systeme laufend nach potenzieller Malware untersucht werden.

Angreifer nutzen unter anderem 10-Jahre alte Sicherheitslücke

Demnach gelang es den Angreifern, zwei in der Desktop-App verwendeten Bibliotheken Schadcode hinzuzufügen. Unter Windows nutzen die Angreifer bei einer Bibliothek eine 10 Jahre alte Sicherheitslücke (CVE-2013-3900), die es ermöglicht, signierten .exe- und .dll-Dateien weiteren Code hinzuzufügen, ohne die Signatur zu beschädigen.

Zwar hat Microsoft das Problem im Dezember 2013 behoben, allerdings als Opt-in. Bis heute müssen Nutzer den Fix selbst über die Registry aktivieren, obwohl die Sicherheitslücke laut dem Onlinemagazin Bleepingcomputer immer wieder ausgenutzt wird.

Der hinzugefügte Code wird demnach von einer zweiten Bibliothek aufgerufen und lädt eine bereits am 7. Dezember 2022 hochgeladene Icon-Datei aus einem Github-Repository herunter. Diese enthält Base64-encodierte URLs von denen anschließend Schadcode heruntergeladen und ausgeführt wird. Dabei soll es sich um einen Infostealer handeln, der System- und Browserdaten ausliest, darunter die Browserhistory sowie Zugangsdaten. Mit diesen dürften weitere Angriffe auf die Unternehmen möglich sein.

Der Hersteller 3CX betont beschwichtigend, dass es sich um einen gezielten Angriff auf einzelne Kunden gehandelt habe. Die überwiegende Mehrheit der Systeme, auf denen die Software mit den entsprechenden Schaddateien installiert wurde, seien tatsächlich nie infiziert worden.