3CX Desktop App 遭受软件供应链攻击

时间:2020-12-09 01:18:44

漏洞描述

3CX Desktop App 是一款集成电话、视频会议、即时消息等多种通信方式的桌面软件,在海外有较多企业客户使用。

疑似由于3CX Desktop App通过git构建时引入了受供应链攻击的代码库,且使用由 Sectigo颁发并由 DigiCert加盖时间戳的合法 3CX Ltd 证书进行数字签名。

受影响的安装包中包含了ffmpeg.dll和d3dcompiler_47.dll两个恶意DLL文件,当用户安装时,会加载恶意ffmpeg.dll,并从d3dcompiler_47.dll中提取payload,进而对系统信息进行收集,从Chrome,Edge,Brave和Firefox用户配置文件中窃取数据和存储的凭据等,造成敏感数据泄露。

漏洞名称 3CX Desktop App 遭受软件供应链攻击
漏洞类型 代码注入
发现时间 2023-03-31
漏洞影响广度 广
MPS编号 MPS-2023-9187
CVE编号 CVE-2023-29059
CNVD编号 -

影响范围

Electron Mac 3CXDesktop App@[18.12.416, 18.12.416]

Electron Mac 3CXDesktop App@[18.12.407, 18.12.407]

Electron Mac 3CXDesktop App@[18.12.402, 18.12.402]

Electron Mac 3CXDesktop App@[18.11.1213, 18.11.1213]

Electron Windows 3CXDesktop App shipped in Update 7@[18.12.416, 18.12.416]

Electron Windows 3CXDesktop App shipped in Update 7@[18.12.407, 18.12.407]

修复方案

使用PWA App,PWA App的安装方法可以参考下面链接: https://www.3cx.com/user-manual/web-client/

参考链接

https://www.oscs1024.com/hd/MPS-2023-9187

https://nvd.nist.gov/vuln/detail/CVE-2023-29059

https://cwe.mitre.org/data/definitions/506.html

https://www.3cx.com/blog/news/desktopapp-security-alert/

https://cwe.mitre.org/data/definitions/506.html

https://www.fortinet.com/blog/threat-research/3cx-desktop-app-compromised

https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/

https://www.virustotal.com/gui/file/dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc/details

    

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球*开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具: https://www.murphysec.com/?src=osc

免费情报订阅: https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

3CX Desktop App 遭受软件供应链攻击