Menu

Sluit

Malware in 3CX Voice over IP-software

04 apr 2023

Update 4 april 2023

Advies: verwijder 3CX-software indien besmet

Cybersecuritybedrijf CrowdStrike heeft op 29 maart een digitale aanval op gebruikers van het softwarepakket 3CX waargenomen. 3CX is een veelgebruikte en uitgebreide VoIP-softwareoplossing voor bedrijven die bijvoorbeeld wordt gebruikt voor telefooncentrales. Het NCSC, CSIRT-DSP en DTC adviseren gebruikers van deze software direct actie te ondernemen.

Wat is er aan de hand?

Het gaat om een supplychain-aanval waarbij mogelijk veel gebruikers van deze software zijn getroffen. In de 3CX DesktopApp update 7 (Windows) en update 6 en 7 (MacOS) zit een stukje software dat besmet is met malware. Softwarebedrijf 3CX heeft aangegeven dat deze versies sinds eind maart 2023 per update beschikbaar zijn geweest.

Wat kun je doen?

  • Het NCSC, CSIRT-DSP en het DTC adviseren alle organisaties die 3CX in gebruik hebben, onderzoek te (laten) doen naar mogelijke compromittatie van hun systemen en waakzaam te zijn op signalen van mogelijk misbruik;
  • 3CX adviseert het softwareprogramma volledig te verwijderen indien er een besmette (malafide) versie op het systeem aanwezig is. Na het verwijderen van de software is het van belang om het systeem opnieuw op te starten en een virusscan uit te voeren;
  • Wanneer 3CX noodzakelijk is voor een vitaal proces binnen je organisatie, raadt 3CX aan om de webapplicatie te gebruiken of na het verwijderen van de besmette software de laatste versie van de applicatie te installeren;
  • Onder dit bericht zijn diverse technische referenties te vinden met tools, monitoringsregels en indicatoren die voor onderzoek gebruikt kunnen worden;
  • Vermoed je misbruik op basis van onderzoek? Wijzig dan in ieder geval alle wachtwoorden van de getroffen systemen;
  • Daarnaast is het raadzaam ook eventuele opgeslagen wachtwoorden (in bijvoorbeeld de browser) te wijzigen.

Met malware besmette versies

3CX geeft aan dat de DesktopApp voor zowel Windows als MacOS is geïnfecteerd met malware. Concreet gaat het om de volgende versies:

  • Electron Windows software versies 18.12.407 en 18.12.416;
  • Electron MacOS software versies 18.11.1213, 18.12.402, 18.12.407 en 18.12.416.

Neem je ICT-diensten af via een leverancier?

Als je gebruik maakt van 3CX via een tussenpersoon, neem dan zo snel mogelijk contact op met de leverancier.

Bekijk voor technische details de links onderaan dit artikel.

 

UPDATE 31 mrt 2023

Resellers 3CX-software gealarmeerd

Ruim 100 Nederlandse resellers van 3CX-software zijn gistermiddag door het DTC en CSIRT-DSP gealarmeerd over deze mogelijke malware-besmetting. Hen is verzocht om klanten te waarschuwen en te helpen met het zo snel mogelijk in uitvoering brengen van de uitgebrachte adviezen.

Het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft inmiddels een alert over 3CX gepubliceerd evenals het Nederlandse Cyber Security Centrum (NCSC).

Meer over deze mogelijke malware-besmetting lees je via de links onderaan dit bericht.

 

 

Oorspronkelijk bericht 30 mrt 2023

Cybersecuritybedrijf CrowdStrike heeft 29 maart 2023 aangegeven een digitale aanval te hebben waargenomen gericht op gebruikers van het softwarepakket 3CX. 3CX is een Voice over IP-softwareoplossing voor bedrijven om bellen via het internet te faciliteren. Een aanvaller heeft op grote schaal gebruikers van deze software weten te besmetten door middel van een zogenoemde supply chain-aanval. Dit is een aanval op een leverancier met als doel om klanten, gebruikers of partners in de keten van die organisatie te raken.

Wat is het risico?

In de desktop software van 3CX die sinds update 7 wordt verspreid, zit een malware-besmetting. Via de besmette software is het voor een aanvaller mogelijk om toegang te hebben tot het netwerk en andere systemen van de organisatie.

Welke versies zijn kwetsbaar?

Deze malware-besmetting kan zowel zitten in zowel de Windows- als MacOS-software van 3CX. Concreet gaat het om:

  • de Electron Windows appversies 18.12.407 en 18.12.416
  • de Electron MacOS softwareversies 18.11.1213, 18.12.402, 18.12.407 en 18.12.416.

Wat kun je doen?

  • Softwareleverancier 3CX adviseert het softwareprogramma volledig te verwijderen;
  • Als 3CX noodzakelijk is voor een vitaal proces, raadt 3CX aan de webapplicatie te gebruiken. Meer informatie vind je op de 3CX-website;
  • Een aantal - maar niet alle - antiviruspakketten herkent gebruik van de malware en zal deze verwijderen. Zorg dus voor een up-to-date antiviruspakket op alle apparaten voor gebruikers;
  • Er zijn zogenoemde IoC’s (tekenen van besmetting) beschikbaar voor deze malware. Deze informatie kan worden gebruikt voor het onderzoeken of je besmet bent. Raadpleeg hiervoor je IT-leverancier of reseller.

Maak je gebruik van de 3CX-producten maar ben je onzeker of je voldoende beschermd bent of heb je andere vragen? Stel deze dan ook aan je IT-leverancier of reseller van het 3CX-product.

 

Naar het beveiligingsadvies

Bronnen met technische details

Huntress
Valhalla
GitHub
Sentinelone
Check my operator
Forensic Scanner Nextron THOR
Sluit je aan bij de DTC Community voor cyberprofessionals

 

Veilig digitaal ondernemen

Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de Basisscan Cyberweerbaarheid.