CERTFR-2023-ALE-003

Vulnerability from certfr_alerte - Published: - Updated:

Le 30 mars 2023, l'éditeur a publié un communiqué concernant la compromission de leur application de bureau 3CX (3CX Desktop App). Cette application de conférence vocale et vidéo, dans certaines versions, est infectée par un cheval de Troie qui rend possible le déploiement d'une charge utile à des fins malveillantes.

Le CERT-FR ne peut pas confirmer, à ce stade, si d'autres versions que celles mentionnées dans la section Systèmes affectés sont compromises. Il est donc très fortement recommandé, quelle que soit la version, de désinstaller l'application de bureau 3CX et de suivre la recommandation de l'éditeur consistant à utiliser l'application web PWA. L'éditeur propose un manuel d'utilisation qui peut simplifier cette transition [1].

Par ailleurs, il est aussi indispensable de procéder à une vérification des postes qui disposaient de cette application afin de s'assurer qu'ils n'ont pas été compromis. Pour cela, plusieurs rapports en source ouverte proposent des marqueurs de compromission à vérifier [2][3]. En cas de suspicion de compromission, il est recommandé de continuer les investigations (cf. bons réflexes en cas d'intrusion sur votre système d'information [4]).

Solution

[Mise à jour du 11 avril 2023] Le 31 mars, l'éditeur a publié une nouvelle version de son application de bureau 3CX [5]. Cette version, 18.12.425, ne comprend plus le cheval de Troie. Néanmoins, l'éditeur ne recommande pas le déploiement de cette nouvelle version et préconise plutôt l'utilisation de l'application web PWA.

Pour plus d'informations, se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Impacted products
Vendor Product Description
Apple macOS Application de bureau 3CX (application Electron pour macOS) versions 18.11.1213, 18.12.402, 18.12.407 et 18.12.416
Microsoft Windows Application de bureau 3CX (application Electron pour Windows) versions 18.12.407 et 18.12.416
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "Application de bureau 3CX (application Electron pour macOS) versions 18.11.1213, 18.12.402, 18.12.407 et 18.12.416",
      "product": {
        "name": "macOS",
        "vendor": {
          "name": "Apple",
          "scada": false
        }
      }
    },
    {
      "description": "Application de bureau 3CX (application Electron pour Windows) versions 18.12.407 et 18.12.416",
      "product": {
        "name": "Windows",
        "vendor": {
          "name": "Microsoft",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "",
  "closed_at": "2023-04-12",
  "content": "## Solution\n\n\u003cspan style=\"color: #ff0000;\"\u003e\\[Mise \u00e0 jour du 11 avril 2023\\] \u003c/span\u003eLe\n31 mars, l\u0027\u00e9diteur a publi\u00e9 une nouvelle version de son application de\nbureau 3CX \\[5\\]. Cette version, 18.12.425, ne comprend plus le cheval\nde Troie. N\u00e9anmoins, l\u0027\u00e9diteur ne recommande pas le d\u00e9ploiement de cette\nnouvelle version et pr\u00e9conise plut\u00f4t l\u0027utilisation de l\u0027application web\n*PWA*.\n\nPour plus d\u0027informations, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de\nl\u0027\u00e9diteur pour l\u0027obtention des correctifs (cf. section Documentation).\n",
  "cves": [],
  "links": [
    {
      "title": "[3] Rapport SentinelOne",
      "url": "https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"
    },
    {
      "title": "[5] Publication li\u00e9e \u00e0 la sortie de la version 18.12.425 de l\u0027application de bureau 3CX",
      "url": "https://www.3cx.com/blog/releases/v18u7-desktop-app-electron/"
    },
    {
      "title": "[2] Rapport CrowdStrike du 29 mars 2023",
      "url": "https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/"
    },
    {
      "title": "[1] Manuel d\u0027utilisation 3CX Web Client (PWA)",
      "url": "https://www.3cx.com/user-manual/web-client/"
    },
    {
      "title": "Avis ENISA EU",
      "url": "https://github.com/enisaeu/CNW/blob/main/advisories/CVE-2023-XXXXX_3CX-DesktopApp.md"
    },
    {
      "title": "[4] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information",
      "url": "https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"
    }
  ],
  "reference": "CERTFR-2023-ALE-003",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2023-03-31T00:00:00.000000"
    },
    {
      "description": "Ajout concernant la nouvelle version d\u0027application de bureau 3CX",
      "revision_date": "2023-04-11T00:00:00.000000"
    },
    {
      "description": "Ajout du lien vers la version 18.12.425 de l\u0027application de bureau 3CX",
      "revision_date": "2023-04-12T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "D\u00e9ploiement d\u0027une charge utile malveillante sur le syst\u00e8me"
    }
  ],
  "summary": "Le 30 mars 2023, l\u0027\u00e9diteur a publi\u00e9 un communiqu\u00e9 concernant la\ncompromission de leur application de bureau 3CX (*3CX Desktop App*).\nCette application de conf\u00e9rence vocale et vid\u00e9o, dans certaines\nversions, est infect\u00e9e par un cheval de Troie qui rend possible le\nd\u00e9ploiement d\u0027une charge utile \u00e0 des fins malveillantes.\n\nLe CERT-FR ne peut pas confirmer, \u00e0 ce stade, si d\u0027autres versions que\ncelles mentionn\u00e9es dans la section *Syst\u00e8mes affect\u00e9s* sont compromises.\nIl est donc tr\u00e8s fortement recommand\u00e9, quelle que soit la version, de\nd\u00e9sinstaller l\u0027application de bureau 3CX et de suivre la recommandation\nde l\u0027\u00e9diteur consistant \u00e0 utiliser l\u0027application web *PWA*. L\u0027\u00e9diteur\npropose un manuel d\u0027utilisation qui peut simplifier cette transition\n\\[1\\].\n\nPar ailleurs, \u003cstrong\u003eil est aussi indispensable de proc\u00e9der \u00e0 une\nv\u00e9rification des postes qui disposaient de cette application\u003c/strong\u003e afin de\ns\u0027assurer qu\u0027ils n\u0027ont pas \u00e9t\u00e9 compromis. Pour cela, plusieurs rapports\nen source ouverte proposent des marqueurs de compromission \u00e0 v\u00e9rifier\n\\[2\\]\\[3\\]. En cas de suspicion de compromission, il est recommand\u00e9 de\ncontinuer les investigations (cf. *bons r\u00e9flexes en cas d\u0027intrusion sur\nvotre syst\u00e8me d\u0027information* \\[4\\]).\n",
  "title": "[M\u00e0J] Compromission de l\u0027application 3CX Desktop App",
  "vendor_advisories": [
    {
      "published_at": "2023-03-30",
      "title": "Alerte de s\u00e9curit\u00e9 de l\u0027\u00e9diteur 3CX",
      "url": "https://www.3cx.com/blog/news/desktopapp-security-alert/"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.