首頁 > 安全研究 > 安全通報 > 安全通告

【漏洞通告】3CX DesktopApp代碼執行漏洞(CVE-2023-29059)

發布時間 2023-03-31

 

一、漏洞概述

CVE   ID

CVE-2023-29059

發現時間

2023-03-31

類    型

代碼執行

等    級

高危

攻擊向量

網絡

所需權限


攻擊復雜度

用戶交互

PoC/EXP


在野利用

 

3CX 是一家 VoIP IPBX 軟件開發公司,其全球用戶超過600000,日活用戶量超過1200萬。3CX DesktopApp是一種廣泛使用的跨平臺語音和視頻會議應用程序。

3月31日,啟明星辰VSRC監測到針對3CX 軟件及其客戶的供應鏈攻擊(追蹤為CVE-2023-29059),該漏洞是由于3CX DesktopApp部分版本在構建安裝程序時,內嵌了惡意代碼,當程序安裝時會執行惡意代碼,并下載惡意Payload到目標環境中執行。

該攻擊通過利用木馬化3CX DesktopApp(Windows版本和Mac 版本),且使用合法的 3CX Ltd. 證書進行簽名,該證書由 DigiCert 頒發。研究人員表示,這種木馬化的 3CX DesktopApp是多階段攻擊鏈中的第一階段,它從Github中提取附加了base64數據的ICO文件,并最終導致第三階段的信息竊取程序 DLL。

 

二、影響范圍

Electron Windows App shipped in Update 7 版本:18.12.407

Electron Windows App shipped in Update 7 版本:18.12.416

Electron Mac App版本:18.11.1213

Electron Mac App版本:18.12.402

Electron Mac App版本:18.12.407

Electron Mac App版本:18.12.416

  

三、安全措施

3.1 升級版本

目前3CX暫未發布受影響產品的修復版本,受影響用戶可安裝不受影響的程序版本。

下載鏈接:

https://www.3cx.com/

3.2 臨時措施

IOC

dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc – Windows app

aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – Windows installer

fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405 – Windows app

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – Windows installer

92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61 – macOS app

5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – macOS installer

b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb – macOS app

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – macOS installer

11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – Infostealer (d3dcompiler_47.dll)

7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 - Infostealer (ffmpeg.dll )

aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 - Infostealer

c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 - Infostealer (ffmpeg.dll)

fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 - Malicious macOS library (libffmpeg.dylib)

a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 - Malicious macOS library (libffmpeg.dylib)

210c9882eba94198274ebc787fe8c88311af24932832a7fe1f1ca0261f815c3d – Malicious ICO file (icon0.ico)

a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c – Malicious ICO file (icon1.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090 – Malicious ICO file (icon10.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090 – Malicious ICO file (icon11.ico)

d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a – Malicious ICO file (icon12.ico)

4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f – Malicious ICO file (icon13.ico)

8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d – Malicious ICO file (icon14.ico)

f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3 – Malicious ICO file (icon15.ico)

2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f – Malicious ICO file (icon2.ico)

268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca – Malicious ICO file (icon3.ico)

c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd – Malicious ICO file (icon4.ico)

c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396 – Malicious ICO file (icon5.ico)

f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182 – Malicious ICO file (icon6.ico)

2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de – Malicious ICO file (icon7.ico)

e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c – Malicious ICO file (icon8.ico)

d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e – Malicious ICO file (icon9.ico)

 

akamaicontainer[.]com

akamaitechcloudservices[.]com

azuredeploystore[.]com

azureonlinecloud[.]com

azureonlinestorage[.]com

dunamistrd[.]com

glcloudservice[.]com

journalide[.]org

msedgepackageinfo[.]com

msstorageazure[.]com

msstorageboxes[.]com

officeaddons[.]com

officestoragebox[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

pbxsources[.]com

qwepoi123098[.]com

sbmsa[.]wiki

sourceslabs[.]com

visualstudiofactory[.]com

zacharryblogs[.]com

raw.githubusercontent[.]com/IconStorages/images/main/

分析鏈接:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3cx-supply-chain-attack

3.3 通用建議

l  定期更新系統補丁,減少系統漏洞,提升服務器的安全性。

l  加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。

l  使用企業級安全產品,提升企業的網絡安全性能。

l  加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。

l  啟用強密碼策略并設置為定期修改。

3.4 參考鏈接

https://www.3cx.com/blog/news/desktopapp-security-alert/

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/

https://www.kaspersky.com/blog/supply-chain-attack-on-3cx/47698/

https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/


四、版本信息

版本

日期

備注

V1.0

2023-03-31

首次發布

 

五、附錄

5.1 公司簡介

啟明星辰成立于1996年,是由留美博士嚴望佳女士創建的、擁有完全自主知識產權的信息安全高科技企業。是國內最具實力的信息安全產品、安全服務解決方案的領航企業之一。

公司總部位于北京市中關村軟件園啟明星辰大廈,公司員工6000余人,研發團隊1200余人, 技術服務團隊1300余人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司于2010年6月23日在深圳中小板掛牌上市。(股票代碼:002439)

多年來,啟明星辰致力于提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族信息安全產業領軍品牌而不懈努力。

5.2 關于我們

啟明星辰安全應急響應中心已發布1000多個漏洞通告和風險預警,我們將持續跟蹤全球最新的網絡安全事件和漏洞,為企業的信息安全保駕護航。

關注我們:

image.png

上一篇 下一篇