Sidebar Sidebar

Kompromittierte 3CX Desktop APP

Sehe ich das richtig, dass 3CX ein Update zur Verfügung gestellt hat: v 18.12.422
Nach ersten Tests läuft es erfolgreich.
 
  • Like
Reaktionen: derhelge
Ja das Update ist nun Offiziell Raus!
 
gibts das nur für V7?
 
Stimmt, das Update ist raus. Gleich kommt noch ein Post dazu.
 
Im Englischen Blog Beitrag steh mal soll die neue APP nur nutzen wenn unbedingt nötig und lieber bei der PWA bleiben. Da sie in nur 24 Stunden gebaut wurde kann man nicht 100% für Sicherheit garantieren. In 1-2 Tagen soll eine Finale Version erscheinen.

https://www.3cx.com/blog/news/desktopapp-security-alert-updates/
 
  • Like
Reaktionen: fxbastler und bitn2
bitn schrieb:
Da sie in nur 24 Stunden gebaut wurde kann man nicht 100% für Sicherheit garantieren.
Zum Vergrößern anklicken....
Wie der CEO sagt: die App ist vorrangig dafür da eine weitere Verbreitung einzudämmen / noch bestehende kompromittierte Versionen zu ersetzen.
 
fxbastler schrieb:
Wie der CEO sagt: die App ist vorrangig dafür da eine weitere Verbreitung einzudämmen / noch bestehende kompromittierte Versionen zu ersetzen.
Zum Vergrößern anklicken....

Wieso rollt man die dann nicht einfach aus damit die von den Anlagen verschwindet?
Muss man wieder nicht verstehen.
 
MarcusK_3CX schrieb:
Hier der neue Artikel: https://www.3cx.de/blog/desktopapp-sicherheitswarnung-updates/
Zum Vergrößern anklicken....
"Heute früh haben wir unsere Partner und Kunden darüber informiert, dass unsere in Update 7 ausgelieferte Electron Windows-App mit den Versionsnummern 18.12.407 und 18.12.416 ein schwerwiegendes Sicherheitsproblem aufweist."

Was für eine Lüge. Wir haben bis jetzt als Partner absolut nichts offizielles erhalten. Keine Email, kein Anruf, nichts.

Sehr enttäuschend.
 
  • Like
Reaktionen: Matze_PCSRgbg und tarekjumah
Bekommt ihr auch sowas :)

Bildschirmfoto 2023-03-31 um 09.56.21.png


und dann sowas:

www.swascan.com

Security Advisory: Yeastar N412 and N824 Configuration Panel Account Takeover (CVE-2022-47732) - Swascan

Swascan Offensive Security Team has identified several vulnerabilities during a Penetration Test on Yeastar PBX Configuration Panel series N. After contacting the vendor on multiple occasions no official reply has been issues as of 19/10/2022. Swascan has published this responsible vulnerability...
www.swascan.com www.swascan.com

cve.report

CVE-2022-47732

In Yeastar N412 and N824 Configuration Panel 42.x and 45.x, an unauthenticated attacker can create backup file and download it, revealing admin hash, allowing, once cracked, to login inside the Configuration Panel, otherwise, replacing the hash in the archive and restoring it on the device which...
cve.report cve.report
 
prointernet-kastellaun schrieb:
Bekommt ihr auch sowas :)

Anhang anzeigen 11365


und dann sowas:

www.swascan.com

Security Advisory: Yeastar N412 and N824 Configuration Panel Account Takeover (CVE-2022-47732) - Swascan

Swascan Offensive Security Team has identified several vulnerabilities during a Penetration Test on Yeastar PBX Configuration Panel series N. After contacting the vendor on multiple occasions no official reply has been issues as of 19/10/2022. Swascan has published this responsible vulnerability...
www.swascan.com www.swascan.com

cve.report

CVE-2022-47732

In Yeastar N412 and N824 Configuration Panel 42.x and 45.x, an unauthenticated attacker can create backup file and download it, revealing admin hash, allowing, once cracked, to login inside the Configuration Panel, otherwise, replacing the hash in the archive and restoring it on the device which...
cve.report cve.report
Zum Vergrößern anklicken....
Die Ratten kommen nun aus den Löchern gekrochen! Ist nicht das einzige Unternehmen was uns nun mit solchen Mails belästigt.
 
  • Like
Reaktionen: prointernet-kastellaun
Das heißt im Prinzip, es müsse "nur" die Desktop-App auf 18.12.422 aktualisiert werden?
Oder muss trotzdem alles auf die PWA-App umgestellt werden?
Ich frage, weil es auf zweitem Wege echt viel mehr Zeit in Anspruch nimmt und einige Kunden damit nicht happy wären.
 
ich würde noch auf die komplett neue Desktop App warten, die für die nächsten Tage angekündigt ist. PWA ist bis dahin DIE Alternative bzw. auch Dauerlösung.
 
Bisher haben wir auch noch keine Info erhalten. Bei uns hat ESET den Desktop Client gelöscht und dadurch wussten wir erst das etwas nicht stimmt.
 
Das Zertifikat für die Infizierte Client Software wurde heute von Google für ungültig erklärt.

Hier der link zum Internationalen Forum:
www.3cx.com

Chrome blocks latest 3CX msi installer

Google has invalidated our software security certificate. This means the MSI DesktopApp files that we released yesterday afternoon can no longer be downloaded via Google Chrome (nor can the originally infected MSI files). Furthermore several AV vendors are blocking any software signed with the...
www.3cx.com www.3cx.com
 
Die Version 16.x ist nicht betroffen, soweit ich sehen kann (ist ja die alte Legacy Version)?

Florian
 
so dir Information hier sagt eindeutig, die v16 legacy app ist nicht betroffen. Und kann Tapi ;-) Vielleicht wird die Legacy app doch noch weiterentwickelt.....
 
Laut Cyren ist in der 18.12.422 der Trojaner W64/Msil.LTQ enthalten.
Eine Analyse stuft diese Version als suspekt ein:

Was mich stutzig macht, ist die Tatsache, dass in der betroffenen DLL die 3CX-Funktionen vollständig und funktionsfähig enthalten waren, so dass der Client aus Benutzersicht erst mal Ok. war. Das heißt für mich, dass nicht ausgeschlossen werden kann, dass der komplette Quellcode abgegriffen wurde.

Für mich stellt sich daher gerade die Frage, inwieweit man dem 3CX-Code aktuell generell noch vertrauen kann.
Da offensichtlich mehrere Repositories erfolgreich kompromittiert wurden, ist aktuell davon auszugehen, dass kein Repo mehr als sicher gelten kann, bis das Gegenteil bewiesen ist.

Falls der komplette Quellcode abgegriffen wurde und irgendwo ein CIA-, FBI- oder sonstiges Eingangstürchen existiert, wird das lustig werden die nächste Zeit.

Was mich schon lange stört, ist der 3CX Firewall-Scan, der rot meldet, wenn ich die Invites über Port 5060 auf die jeweiligen Provider-Netze einschränke. Dementsprechend kommen in den letzten Wochen auch vermehrt Angriffe auf SIP vor.
Ich bin deshalb dafür, die Firewall abzudichten, egal was der 3CX-Test zu meckern hat.

Wenn es eh gerade um die Sicherheit geht:
@3cx: Wann hört das endlich mit Klartext-Passwörtern in der Datenbank auf? Seit einem Jahr meckere ich das an, aber das interessiert keinen.
Man stelle sich vor, die 3CX-Cloud-DB wird gehackt, dann hat Nordkorea ALLE Passwörter völlig stressfrei...
Dann müssen nur noch entsprechende Mehrwertdienste in Israel oder sonst wo in der Welt mit landestypischen Vorwahlen gebucht werden und los geht das Geldeinsammeln per Telefon-Calls. Da nützt eine Beschränkung auf D überhaupt nichts. Dieses Szenario wird passieren, wenn Passwörter nicht mit einem uniquen Zertifikat verschlüsselt werden..
Murphies Law...keine Frage ob, sondern nur wann das passieren wird...
Abgesehen davon, dass das ein No-Go ist, verstößt damit 3CX gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 a) DSGVO. Zum Nachlesen: https://dsgvo-gesetz.de/art-32-dsgvo/
 
Zuletzt bearbeitet:
  • Like
Reaktionen: SWS - RWU, flocalhost, thierbach und eine weitere Person
getcom schrieb:
Wenn es eh gerade um die Sicherheit geht:
@3cx: Wann hört das endlich mit Klartext-Passwörtern in der Datenbank auf? Seit einem Jahr meckere ich das an, aber das interessiert keinen.
Man stelle sich vor, die 3CX-Cloud-DB wird gehackt, dann hat Nordkorea ALLE Passwörter völlig stressfrei...
Dann müssen nur noch entsprechende Mehrwertdienste in Israel oder sonst wo in der Welt mit landestypischen Vorwahlen gebucht werden und los geht das Geldeinsammeln per Telefon-Calls. Da nützt eine Beschränkung auf D überhaupt nichts. Dieses Szenario wird passieren, wenn Passwörter nicht mit einem uniquen Zertifikat verschlüsselt werden..
Murphies Law...keine Frage ob, sondern nur wann das passieren wird...
Abgesehen davon, dass das ein No-Go ist, verstößt damit 3CX gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 a) DSGVO. Zum Nachlesen: https://dsgvo-gesetz.de/art-32-dsgvo/
Zum Vergrößern anklicken....
+1
Nach diesem Vorfall sollte man sich mehr auf Sicherheit konzentrieren....
Hauptsache es gibt eine Facebook Integration gehts noch...
 
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Keine Mitglieder online.
Gesamt: 79 (Mitglieder: 0, Gäste: 79)

Statistik des Forums

Themen
21.254
Beiträge
106.869
Mitglieder
70.408
Neuestes Mitglied
vonLeitn
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück