Schwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt

Sicherheit (Pexels, allgemeine Nutzung)[English]Wer unter Windows ein 3CX-System (Telefonanlage) in einer Version unterhalb v18 Update 3 (Build 450) betreibt, sollte reagieren. Der Hersteller hat ein Sicherheitsupdate für dieses Produkt in Form der v18 Update 3 (Build 450) veröffentlicht.


Anzeige

Das 3CX-System

Bei 3CX handelt es sich um eine softwarebasierte Telefonanlag für Nebenstellen (PBX). Die 3CX-Telefonanlage basiert auf dem SIP-Standard (Session Initiation Protocol). Die Lösung ermöglicht es Nebenstellen, Anrufe über das öffentliche Telefonnetz (PSTN) oder über Voice-over-Internet-Protocol-Dienste (VoIP) vor Ort, in der Cloud oder über einen Cloud-Dienst zu tätigen, der von 3CX betrieben wird. Die 3CX-Telefonanlage ist für Windows, Linux und Raspberry Pi[ erhältlich und unterstützt Standard-SIP-Soft-/Hardphones, VoIP-Dienste, Faxe, Sprach- und Web-Meetings sowie herkömmliche PSTN-Telefonleitungen. Details lassen sich auf der Herstellerseite abrufen.

Warnung vor einer Schwachstelle

Blog-Leser Liam hat mit bereits Mitte des Monats per E-Mail kontaktiert und wies mich auf ein Sicherheitsupdate für 3CX-Systeme hin (danke dafür). Er hat von diesem Hersteller folgenden Hinweis erhalten.

Dear Liam,

Our records indicate that you are using a Windows-based 3CX System below v18 Update 3 (Build 450). 3CX systems below this version have been subjected to a security vulnerability.

We are not aware of any exploitation of this vulnerability to date, and therefore we will not disclose further details of the vulnerability at the moment. This is to protect yourselves and other customers from possible malicious attacks. The reporting entity has also agreed to withhold publicly disclosing the CVE until 21st March 2022.

We urge you to upgrade your 3CX System to v18 Update 3 (Build 450) or higher as soon as possible, in order to keep your installation secure.

To upgrade to V18 Update 3

Click on "Updates" in the Management Console's Dashboard, select "v18 Update 3 Final" and click on "Download Selected" to install this update on your PBX.

Regards,

The 3CX Team

Inzwischen gibt es aber wohl 3CX Version 18, Hotfix 1 (Security & Memory), Build 18.0.3.461 March 2022, um Schwachstellen zu beheben. Ergänzung: Aus der Leserschaft kam die Rückmeldung, dass das längst gepatcht sei und wer die Software noch einsetze. Kann ich nicht final beurteilen, da ich das Produkt nicht kenne.

3CX vulnerability

Ich bin aber zum 31. März 2022 auf obigen Tweet bzw. diesen Artikel auf Medium gestoßen. Nutzer @frycos hat schlicht die Suchmaschine Shodan verwendet, um die Erreichbarkeit der "3CX Phone System Management Console" aus dem Internet zu überprüfen. Über 203 Tausend Instanzen wurden gefunden, davon laufen über 31.600 Installationen in Deutschland – dass niemand die noch nutzt, scheint daher eher nicht zu stimmen. Jedenfalls hat @frycos seine Installation unter die Lupe genommen und beschreibt, wie er das System über die 3CX Phone System Management Console sicherheitstechnisch auseinander nehmen konnte.

 


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit, Software, Update abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Schwachstelle in Windows 3CX-Telefonanlagen, Patchen ist angesagt

  1. Roger sagt:

    Die benannte Version, auf die aktualisiert werden soll, enthält im Client-Paket Malware

    Hackers compromise 3CX desktop app in a supply chain attack

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.