Update en handelingsperspectief supplychain-aanval 3CX

Cybersecuritybedrijf CrowdStrike heeft op 29 maart aangegeven een digitale aanval op gebruikers van het softwarepakket 3CX te hebben waargenomen. 3CX is een veelgebruikte en uitgebreide VoIP-softwareoplossing voor bedrijven, die bijvoorbeeld wordt gebruikt door onder andere telefooncentrales. Het NCSC adviseert gebruikers van deze software direct actie te ondernemen.

Wat is er aan de hand?

Het gaat om een supplychain-aanval waarbij mogelijk veel gebruikers van deze software zijn getroffen. In de 3CX Desktop-App update 7 zit een stukje software dat besmet is met malware. 3CX heeft aangegeven dat versie 7 sinds eind maart 2023 per update beschikbaar is. Het softwarebedrijf werkt aan een nieuwe versie waarmee dit probleem moet wordenverholpen. Deze zal zo snel mogelijk beschikbaar wordt gesteld voor gebruikers.

Handelingsperspectief

  • Het NCSC, CSIRT-DSP en het DTC adviseren alle organisaties die 3CX in gebruik hebben onderzoek te doen of laten doen naar mogelijke compromittatie van hun systemen en waakzaam te zijn op signalen van mogelijk misbruik.
  • 3CX adviseert het softwareprogramma volledig te verwijderen indien er een besmette (malafide) versie op het systeem aanwezig is. Na het verwijderen van de software is het van belang om het systeem opnieuw op te starten.
  • Wanneer 3CX noodzakelijk is voor een vitaal proces binnen uw organisatie raadt zij aan of de webapplicatie te gebruiken of na het verwijderen van de besmette software, de laatste versie van de applicatie te installeren.
  • Onder dit bericht zijn diverse technische referenties te vinden met tools, monitoringsregels en indicatoren die voor onderzoek gebruikt kunnen worden.
  • Indien u op basis van onderzoek vermoedt slachtoffer te zijn van misbruik dan adviseren wij u in ieder geval alle wachtwoorden te veranderen van de getroffen systemen.

Daarnaast is het raadzaam ook eventuele opgeslagen wachtwoorden (in bijvoorbeeld de browser) te wijzigen.

Malafide versies

3CX geeft aan dat de DesktopApp voor zowel Windows als MacOS is geïnfecteerd met malware. Concreet gaat het om de volgende versies:

  • Electron Windows software versies 18.12.407 en 18.12.416
  • Electron MacOS software versies 18.11.1213, 18.12.402, 18.12.407 en 18.12.416.

Neemt u ICT diensten af via een leverancier?

Wanneer u gebruik maakt van 3CX via een tussenpersoon neem dan zo spoedig mogelijk contact op met uw leverancier.

Bronnen met technische details

Huntress
Valhalla
GitHub 
Sentinelone
Check my operator
Forensic Scanner Nextron THOR

Het NCSC houdt de situatie, in samenwerking met partners, nauwlettend in de gaten. Deze pagina wordt geüpdatet wanneer er meer informatie beschikbaar is.