Severity: N/A

Base Score: N/A

Mô tả:

Ngày 29 tháng 3, một vài báo cáo gửi cảnh báo tệp ứng dụng 3CXDesktop từ nhà cung cấp giải pháp VoIP/IP PBX (Voice over Internet Protocol Private Branch Exchange) đã bị nhúng mã độc ảnh hưởng tới toàn bộ khách hàng sử dụng ứng dụng 3CXDesktop App for Windows and macOS.

Đây là một phần của cuộc tấn công chuỗi cung ứng (supply chain attack) mới nhất, cũng đã từng xảy ra với SolarWinds và Kaseya vài năm trước. Ngày 30 tháng 3 từ một số nguồn tin cậy xác định lỗ hổng trên 3CXDesktop App được lấy tên CVE-2023-29059.

3CXDesktop là một ứng dụng softphone đa nền tảng dành cho desktop (Linux, MacOS và Windows), cho phép người dùng tương tác qua trò chuyện, nhắn tin, video, VoIP/IP.

Phiên bản bị ảnh hưởng:

Ở thời điểm hiện tại, chỉ ghi nhận phiên bản Electron trên MacOS và Windows ở các versions sau bị ảnh hưởng:

MacOS: versions 18.11.1213, 18.12.402, 18.12.407 và 18.12.416
Windows: versions 18.12.407 và 18.12.416

Hiện 3CX đang làm việc trên phiên bản mới của ứng dụng Windows và đã thu hồi chứng chỉ cho các phiên bản trước đó.

Khuyến nghị khắc phục:

Đối với 3CX Server:

Khách hàng đang sử dụng 3CXHosted và StartUP không bị ảnh hưởng và không cần hành động, cập nhật gì thêm.

Đối với Self-Hosted và On-Premise – Cài đặt bản cập nhật theo các bước sau:

Khởi chạy Management Console
Vào phần Updates
Tải Mac Desktop App – phiên bản 18.12.422
Tải Windows Desktop App – phiên bản 18.12.422

Đối với Clients/Desktops:

Bước 1: Gỡ cài đặt Electron App:

Với Windows:

Bấm tìm kiếm tại Start
Gõ “Control Panel”, Enter
Chọn “Programs and Features”
Tìm 3CX Desktop App, bấm “Uninstall”.

Với MacOS:

Vào “Applications” trong “Finder”
Tìm, nháy chuột phải vào “3CX Desktop APP”, click “Move to Trash”
Đảm bảo “3CX Desktop APP” cũng không còn xuất hiện trên Desktop
Xoá “3CX Desktop APP” trong Trash

Bước 2: Cài đặt sử dụng PWA thay cho Electron APP – Thực hiện các bước sau để cài đặt:

Login vào Web Client
Thực hiện 1 trong 2 lựa chọn:
Click vào biểu tượng OS ngay dưới Avatar của user. Trong hộp thoại hiện ra, chọn “Web App (PWA)” và nhấn “Install”.
Hoặc click chọn “Install” (biểu tượng màn hình có mũi tên được highlight trên hình) trên thanh search địa chỉ và bấm xác nhận để tải xuống.
Để thiết lập tự khởi động cho app:
Trên Google Chrome: Mở Chrome browser và gõ ‘chrome://apps’ trên thanh địa chỉ. Nhấn chuột phải vào “3CX” và enable “Start app when you sign in”.
Trên Microsoft Edge: Trên Edge, chọn Auto-start trong hộp thoại xuất hiện sau khi cài đặt ứng dụng.

Lưu ý PWA chỉ hoạt động trên Google Chrome và Microsoft Edge - không hoạt động trên Safari hoặc Firefox.

Tham khảo:

https://www.3cx.com/blog/news/desktopapp-security-alert-updates/
https://www.fortinet.com/blog/threat-research/3cx-desktop-app-compromised
https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/
https://www.tenable.com/blog/3cx-desktop-app-for-windows-and-macos-reportedly-compromised-in-supply-chain-attack

CVE-2023-29059 3CX Desktop App for Windows and macOS Reportedly Compromised in Supply Chain Attack