Im eigenen Forum: 3CX löscht offenbar Kritik am Umgang mit Schwachstelle
Nachdem der Anbieter der VoIP-Telefonielösung 3CX im vergangenen Monat selber vor einer Sicherheitslücke in seiner Software gewarnt hatte , scheint Kritik am Umgang mit der Schwachstelle im hauseigenen 3CX-Forum nicht erwünscht zu sein. Das verdeutlicht ein Blogbeitrag von Günter Born(öffnet im neuen Fenster) , der auf entsprechende Hinweise von einem Leser seines IT- und Windows-Blogs verweist.
Zunächst war dem Leser wohl aufgefallen, dass zwei kritische Beiträge von Mitte Dezember im 3CX-Forum plötzlich verschwunden waren. Unter Einsatz der Wayback Machine sind diese immer noch aufrufbar(öffnet im neuen Fenster) , in der aktuellen Version(öffnet im neuen Fenster) des betroffenen Threads allerdings nicht. Kritisiert wurde vor allem der Umstand, dass 3CX über mehrere Wochen hinweg trotz mehrfacher Hinweise auf die als CVE-2023-49954 registrierte Sicherheitslücke keinerlei Reaktion gezeigt hatte.
Später habe der Leser von Borns Blog in dem 3CX-Forum auch selber einen kritischen Beitrag verfasst. Dieser sei jedoch ebenfalls nach etwa zwei Stunden gelöscht worden. Obendrein sei auch sein Account gesperrt worden, angeblich wegen Spam. Außerdem habe er im Anschluss eine Mail von dem 3CX-CEO Nick Galea erhalten, in der es kurz und knapp heißt: "Bitte suchen Sie sich ein anderes Produkt, das Sie anstelle unserer kostenlosen Lizenz verwenden."
Rund zwei Monate keine Reaktion
Sowohl der Entdecker der Schwachstelle als auch das Computer Emergency Response Team Coordination Center (CERT/CC) hatten ab Mitte Oktober versucht, bezüglich CVE-2023-49954 Kontakt zu 3CX aufzunehmen, erhielten jedoch keine Antwort. Rund zwei Monate später wurde die Sicherheitslücke letztendlich via Github(öffnet im neuen Fenster) offengelegt.
Erst danach veröffentlichte der Anbieter auf seiner Webseite(öffnet im neuen Fenster) einen Sicherheitshinweis und empfahl seinen Kunden darin, die SQL-Datenbank-Integrationen der Anwendung zu deaktivieren. Dort waren allerdings zu dieser Zeit weder Patches noch weitere technische Details zu der Schwachstelle zu finden. Beides lieferte 3CX aber später über einen separaten Blogbeitrag(öffnet im neuen Fenster) nach.
Geschützt ist 3CX demnach ab den Versionen 18.0.9.23 und 20.0.0.1494. Bei früheren Versionen sind über CRM-Integrationsvorlagen für MsSQL, MySQL und PostgreSQL wohl SQL-Injection-Angriffe möglich, sofern anfällige Server über das Internet erreichbar sind. Das Unternehmen empfiehlt, statt direkter SQL-Abfragen grundsätzlich "eine moderne, sichere Web-API zu verwenden" .