Kritische Lücke in 3CX macht 600.000 Unternehmen angreifbar

Eine Gruppe von Hacker*innen hat die VoIP-Software von 3CX für Windows und MacOS mit einem Trojaner ausgestattet. Mit Voice-over-IP-Anwendungen kann man über das Internet telefonieren - daher kommen sie häufig am Arbeitsplatz zum Einsatz. 3CX bietet VoIP- und PBX-Dienste für mehr als 600.000 Unternehmen an. Zu diesen zählen unter anderem Ikea, BMW oder McDonalds.

Die schadhafte Version von 3CX enthält demnach einen Trojaner, obwohl die VoIP-Software vom Hersteller signiert wurde. Rechner werden beim Download mit Malware infiziert. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat nun die Alarmstufe Orange ausgerufen. Das ist die dritte von 4 Stufen. Die IT-Bedrohungslage sei geschäftskritisch, heißt es. Es könne zu einer „massiven Beeinträchtigung des Regelbetriebs“ kommen.

Web-Applikation nutzen

Unter Windows seien die Versionen 18.12.407 und 18.12.416 betroffen – unter MacOS die Versionen 18.22.1213, 18.12.402, 18.12.407 und 18.12.416. Im schlimmsten Fall könnten die jeweiligen Daten gestohlen oder der Rechner übernommen werden.

Laut dem Hersteller 3CX sollten die Anwendungen deinstalliert werden und stattdessen die Web-Applikation (PWA) genutzt werden. Zusätzlich rät der Hersteller, die Systeme laufend nach Malware zu untersuchen und diese, wenn vorhanden, zu beseitigen.

Noch kein Sicherheitsupdate

Den Angreifer*innen sei es bereits gelungen, einer in der Desktop-App verwendeten Bibliothek Schadcode hinzuzufügen. Unter Windows machte dies eine 10 Jahre alte Sicherheitslücke (CVE-2013-3900) möglich. Über die Lücke konnte signierten .exe- und .dll-Dateien weiterer Code hinzugefügt werden.

Laut 3CX sollen gezielt einzelne Kund*innen angegriffen worden sein. Die Mehrheit der Systeme sei aber nicht infiziert worden. Der Hersteller arbeite bereits an einer Lösung. Noch gibt es aber kein Sicherheitsupdate.