Sidebar Sidebar

Sicherheitswarnung zur 3CX Desktop App

Wir handhabt ihr das jetzt ? Verlasst ihr euch auf die Aussagen von 3CX oder deinstalliert ihr die 3CX Desktop App, egal in welcher Version ? Passwortänderungen bei den Kunden ? Nur 3CX ? Auch AD?

Um die Anrufe bei uns einzudämmen, haben wir schon gestern, proaktiv unsere Kunden via Mail informiert und die Installer von den Anlagen entfernt - viele Kunden haben auch schon selbstständig die Clients deaktiviert und nutzen den Webclient ... Nun ist gleich das nächste Update unserer Kunden fällig, da diese natürlich auch mit großen Fragezeichen ungeduldig auf Infos warten ...
 
TreuOrga-JM schrieb:
Wir handhabt ihr das jetzt ? Verlasst ihr euch auf die Aussagen von 3CX oder deinstalliert ihr die 3CX Desktop App, egal in welcher Version ? Passwortänderungen bei den Kunden ? Nur 3CX ? Auch AD?

Um die Anrufe bei uns einzudämmen, haben wir schon gestern, proaktiv unsere Kunden via Mail informiert und die Installer von den Anlagen entfernt - viele Kunden haben auch schon selbstständig die Clients deaktiviert und nutzen den Webclient ... Nun ist gleich das nächste Update unserer Kunden fällig, da diese natürlich auch mit großen Fragezeichen ungeduldig auf Infos warten ...
Zum Vergrößern anklicken....
Dem Endkunden geht es eigentlich gar nicht primär um das Deinstallieren. Und vor allem welche Versionen. Grundsätzlich wird ja immer auf das PWA verwiesen. Die Hauptfrage die sich stellt für den Endkunden: Welche Daten sind dadurch wohin geflossen. Das kann aktuell ja noch niemand sagen. Aber die Preisfrage ist, welche Versionen davon wirklich betroffen sind. Ich kann ja nicht alle Kunden anschreiben und die Pferde scheu machen, sondern ich muss ja die anschreiben, die es betrifft. Alle Kunden mit V16 Client fallen ja schon raus. Aber fallen wirklich auch die Windows-Apps mit 18.12.1213 raus. Wir haben den einen oder anderen Kunden, der keine Auto-Updates fährt, wo die Instanz noch auf U6 läuft. Ich persönlich kann mir nicht vorstellen, dass da der Mac-Client böse sein soll, die Windows-Clients aber nicht.
 
Wir werden weitere Informationen veröffentlichen, sobald diese verfügbar und validiert sind. Es bringt jetzt nichts zu mutmaßen und die Pferde scheu zu machen. Halten Sie sich bitte an unsere Anweisungen und warten auf Updates.
 
  • Like
Reaktionen: jkbavaria
Diese Frage stelle ich mir als Endkunde mit knapp 60 Clients auch gerade. Wir rollen die 3CX App per GPO aus und dadurch installiert sie sich nicht unter AppData des Users, sondern normal in C:\Programme. So wie es aussieht ist das auch unser Glück, denn dadurch gibt es wohl kein Autoupdate und alle Clients haben noch die Windows Version 18.11.1213 mit Zeitstempel 23.01.2023. Bis jetzt ist auch noch kein Sophos Endpoint angeschlagen und auch im Sophos Central kann ich keine verdächtige Meldung sehen. Auch sind keine verdächtigen Adressen (Liste aus anderem Forenbeitrag) von unserer Sophos Firewall registriert worden. Denke also wir haben hier noch einmal Glück gehabt. Ich warte jetzt noch einmal ab bevor ich der GPO sage, sie soll alle Clients deinstallieren. Aber ein ungutes Gefühl habe ich gerade trotzdem, weil man muss einfach mal bedenken, was das jetzt für ein Aufwand wäre, alle Client Rechner neu installieren zu müssen und der Kostenfaktor dahinter.
 
Hi zusammen,

wir nutzen bei Chrome und Edge die Erweiterung click2call um Telefonnummern aus den Webseiten und unserer Webbasierten CRM über 3CX wählen zu können, dies ging immer nur über die Desktop App, die gerade überall deinstalliert wird.
Leider gibt die Erweiterung mir nicht die Möglichkeit über PWA zu telefonieren/wählen.
Echt peinlich für 3CX und noch nicht mal über Mail informiert worden, erst durch Selbsterfahrung und googeln nach dem Problem gestern.
 
Es wäre sehr hilfreich, wenn 3CX sich dazu klar äußern würde, dass es sich ausschließlich um die 3CX Versionen 18 Up 7 handelt und nicht 18 Up 6 bzw. darunter.
Das würde für ein Teil der Partner und User hier aus der Gesamtproblematik rauslösen. Ich selbst verstehe es zwar so, dass es sich nur um Versionen 18 Up 7 handelt, aber in solchen Situationen halte ich es für notwendig wichtig, die nicht betroffenen Versionen klar zu benennen. Damit bleibt kein Interpretationsspielraum. Das sollte doch möglich sein.
 
Es wäre sehr hilfreich, wenn 3CX sich dazu klar äußern würde, dass es sich ausschließlich um die 3CX Versionen 18 Up 7 handelt und nicht 18 Up 6 bzw. darunter.
zzhat schrieb:
Das würde für ein Teil der Partner und User hier aus der Gesamtproblematik rauslösen. Ich selbst verstehe es zwar so, dass es sich nur um Versionen 18 Up 7 handelt, aber in solchen Situationen halte ich es für notwendig wichtig, die nicht betroffenen Versionen klar zu benennen. Damit bleibt kein Interpretationsspielraum. Das sollte doch möglich sein.
Zum Vergrößern anklicken....
Auf eine solche aussage warten wir auch .... da das github repo, woraus manche Dateien nachgeladen worden sind, seit ca Nov 2022 existiert hat (nagelt mich nicht drauf fest), haben wir erst einmal alle 3CX Versionen, welche vor November 2022 erschienen sind (<= v18.0.5.418) als "i.O" deklariert. Bei allen Versionen darüber (18.0.6) schauen wir uns die Clients genauer an und bei Installationen (18.0.7) analysieren wir nochmals genauer.
 
Ich will hier die Anschuldigungen nicht noch weiter vertiefen. Aber angekommen ist das scheinbar bei 3cx immer noch nicht, dass auf der Website unter News nicht nur das Datum sondern auch die Uhrzeit mit angegeben werden sollte/muss.
Ebenso wurde bisher noch kein Newsletter eingerichtet der über neue Erkenntnisse informiert.
Sonst nutzt ihr ja unsere Email Adressen auch. Also gibt es Verteilerlisten.

Was hier sicherlich auch schon einige herausgelesen und sich selbst zusammengetragen haben habe ich nun noch einmal anhand der Datensicherungen bei den Kunden nachvollzogen.
Kann hier jemand bestätigen dass die 18.11.1213 der Windows APP ebenfalls betroffen ist?
Wenn ja wird hier nur eine Datei von Virustotal als betroffen markiert und zwar: d3dcompiler_47.dll
wenn ich nun etwas weiter zurück gehe auf die Version 18.10.461 ist diese Datei immer noch als betroffen markiert und zwar mit:
W64/Msil.LTQ

Ich hoffe dies ist ein false positive. Denn ansonsten schleppen wir dies schon seit Mitte 2022 mit uns rum. Weiter kann ich jetzt auf die Schnelle nicht zurück.
 
Wir werden weitere Informationen veröffentlichen, sobald diese verfügbar und validiert sind. Es bringt jetzt nichts zu mutmaßen und die Pferde scheu zu machen. Halten Sie sich bitte an unsere Anweisungen und warten auf Updates. Ein Mailer folgt in Kürze.
 
MarcusK_3CX schrieb:
Wir werden weitere Informationen veröffentlichen, sobald diese verfügbar und validiert sind. Es bringt jetzt nichts zu mutmaßen und die Pferde scheu zu machen. Halten Sie sich bitte an unsere Anweisungen und warten auf Updates. Ein Mailer folgt in Kürze.
Zum Vergrößern anklicken....
Je länger Sie warten desto mehr wird sich das Mutmaßen verselbstständigen und das nicht zum Positiven.
Copy & Paste der immer gleichen Antwort bringt da nichts.
Eine Email an die Partner mit dem alten Text aus dem Blog auch nicht.
Ein echtes Trauerspiel.
 
  • Like
Reaktionen: fxbastler
Neigkeiten im englischen Blog, Bitte folgen Sie dort bis auf Weiteres:

www.3cx.com

Security Incident Update Saturday 1 April 2023

We regret to inform you that our company has become victim to a zero-day exploit to attack our product and the larger supply chain. Our highest priority
www.3cx.com www.3cx.com
 
  • Like
Reaktionen: avraammich_3CX
So wie ich den Beitrag lese, wird zu einer generellen Deinstallation der Electron App geraten. An keiner Stelle (und auch nur in einem der verlinkten Beiträge) werden davon betroffene Versionen genannt. Entscheidend ist hier wohl (das darf man sich selber denken, das ist nicht schön) das was nicht dort steht.

Das heisst für uns: das was da steht soll gemacht werden weil es keine Ausnahmen gibt. Es stehen, anders als zuvor mit dem Verweis auf konkrete 18u7 Apps, in dem Post keine drin. Auch im Forumpost steht Stand jetzt nichts anderes. Es wird auch dort schon gezielt nachgefragt, bisher ohne Antwort.

Ist dem so? Ausnahmslos alle Electron Apps deinstallieren weil das Szenario sich ausweitet?

Nachtrag 20:50: Es wurde offiziell nachträglich bestätigt, es betrifft nur die zuvor genannten Versionen.
 
Zuletzt bearbeitet:
Nein. Laut jetzigem Kenntnisstand handelt es sich um die im initialen Blog Post genannten Versionen. Daher haben wir auch nicht noch einmal die Versionen erwähnt. Bitte keine Mutmaßungen oder Gerüchte verbreiten, das ist nicht zielführend. Sobald es weitere Informationen gibt, werden wir Sie benachrichtigen.
 
MarcusK_3CX schrieb:
Nein. Laut jetzigem Kenntnisstand handelt es sich um die im initialen Blog Post genannten Versionen. Daher haben wir auch nicht noch einmal die Versionen erwähnt.
Zum Vergrößern anklicken....
Es wäre schön, darauf zu verweisen. Das steht in keiner der beiden aktuellen Ankündigungen klar und deutlich. Zuvor war dem so.

Ich halte mich sehr zurück und frage nicht aus Langeweile gezielt danach. Ich bin nicht der Einzige dem das auffällt. Andere schreiben so leider zur Genüge Sachen nicht.

Nachtrag: Eben (Stunden später) wurde das offiziell (aber eben nur im Forum) konkretisiert.
 
Zuletzt bearbeitet:
Nochmal, wenn es weitere Informationen gibt, werden wir Sie darauf hinweisen. Bis dahin verweisen wir auf die Informationen, die wir kundgetan haben.
 
Hallo Forum!
Ich betrachte dieses Beitrag hier als zentrales im deutschen Forum und möchte ein Hinweis hier rein posten, habe ich selbst gerade eben davon erfahren. Es gibt inzwischen im englischen Forum Beitrag zur Nachuntersuchung mit THOR Lite.
Beitrag englisches 3CX Forum: https://www.3cx.com/community/threads/forensic-scanner-nextron-thor.120005/
Beitrag Nextron: https://www.nextron-systems.com/202...zarus-activity-related-to-the-3cx-compromise/

Für mich wären das wieder Infos für alle, z.B. per Email, wie am Samstag, warum passiert so etwas nicht, alles warten doch auf eine derartige Lösung, auch wenn es nur eine zusätzliche Abhilfemaßnahme ist. Ich verstehe das nicht und ärgere mich mehr und mehr über 3CX. Wo bleibt die zugesagte Transparenz? Müssen wir alle auf englisches Forum umsteigen damit wir aktuell sind?
 
Im englischen Forum werden diese Infos zum Teil direkt von unserem CISO geteilt, daher ist er immer aktueller. Wir versuchen Sie bei solchen Etnwicklungen zukünftig schneller auch hier im Deutschen Forum zu informieren. Es hat hier kürzlich auch einige personelle Änderungen gegeben und dieser Zwischenfall hat hier viel auf den Kopf gestellt. Wir bitten daher um Verständnis und Geduld.

Vielen Dank jedenfalls für das Verlinken der oben genannten Beiträge.

Die Untersuchung dieses Zwischenfalls ist in vollem Gange und wir werden die Neuigkeiten teilen, sobald wir welche haben. Das kann auch schonmal ein paar Tage dauern, da es keine Minutenarbeit ist, die gesamte Entwicklungsumgebung und den Quellcode zu überprüfen bevor wir ein sicheres Update zur Verfügung stellen können.

Bis dahin folgen Sie bitte unseren Anweisungen.
 
  • Like
Reaktionen: avraammich_3CX
Hallo,

als Endkunde müssen wir ehrlich sagen, dass wir sogar überlegen uns von 3CX komplett abzuwenden. Gerade in der aktuellen Lage, in der immer mehr Firmen/Behörden Hackern zum Opfer fallen, kann man ein solches Sicherheitsproblem nicht versuchen totzuschweigen und denken es löst sich von alleine. Da erwarte ich eine transparente Kommunikation sowohl an die Partner, als auch an die Endkunden. Bei einem Verweis auf den "Blog" und ein Update des Clients auf eine vermeintlich sichere Version, ohne genaue Bestätigung, musste ich sehr schmunzeln.
Sehr amüsant sind auch Aussagen wie "Zurück zur PWA – Ja, es fehlen hier ein paar Funktionen im Vergleich zur Electron App. Aber wir glauben, dass eine große Anzahl von Nutzern diese ohnehin nicht benötigt. Trotz alledem haben wir beschlossen, unsere Entwickler rund um die Uhr daran arbeiten zu lassen, die fehlenden Funktionen zu ergänzen."
Woher wollen Sie denn wissen, wer was benötigt? Immerhin sind Sie so nett, sich die Mehrarbeit zu machen und die "nicht benötigten" Funktionen zu ergänzen. Da freue ich mich sehr, dass soviel Einsatz gezeigt wird *Ironie off*

Wir haben definitiv den Client komplett überall entfernt, egal welche Version. Wir müssen leider sagen, bei dieser Art der Kommunikation und wie lange das Thema nicht ernst genommen wurde ist aktuell jegliches Vertrauen in 3CX verloren gegangen.
 
Um antworten zu können musst du eingeloggt sein.

Einstieg für Admins

Top-Foren

Zurzeit aktive Besucher

Gesamt: 166 (Mitglieder: 17, Gäste: 149)

Statistik des Forums

Themen
21.191
Beiträge
106.571
Mitglieder
70.307
Neuestes Mitglied
Alo
Holen Sie sich 3CX - völlig kostenlos!

Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX register cta
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Verifizieren Sie Ihre E-Mail-Adresse

Prüfen Sie Ihren Posteingang!

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – Wenn Sie keine Nachricht finden können, dann überprüfen Sie auch Ihren Spam-Ordner.

Oben Unten
Zurück