Accueil > Alertes du CERT-MC et du CERT-FR > Compromission de l’application 3CX Desktop App

Compromission de l’application 3CX Desktop App

Référence : CERT-FR-2023-ALE-003

Risque(s)

- Déploiement d'une charge utile malveillante sur le système

Systèmes affectés

- Application de bureau 3CX (application Electron pour macOS) versions 18.11.1213, 18.12.402, 18.12.407 et 18.12.416
- Application de bureau 3CX (application Electron pour Windows) versions 18.12.407 et 18.12.416

Résumé

Le 30 mars 2023, l'éditeur a publié un communiqué concernant la compromission de leur application de bureau 3CX (3CX Desktop App). Cette application de conférence vocale et vidéo, dans certaines versions, est infectée par un cheval de Troie qui rend possible le déploiement d'une charge utile à des fins malveillantes.

Le CERT-FR ne peut pas confirmer, à ce stade, si d'autres versions que celles mentionnées dans la section Systèmes affectés sont compromises. Il est donc très fortement recommandé, quelle que soit la version, de désinstaller l'application de bureau 3CX et de suivre la recommandation de l'éditeur consistant à utiliser l'application web PWA. L'éditeur propose un manuel d'utilisation qui peut simplifier cette transition [1].

Par ailleurs, il est aussi indispensable de procéder à une vérification des postes qui disposaient de cette application afin de s'assurer qu'ils n'ont pas été compromis. Pour cela, plusieurs rapports en source ouverte proposent des marqueurs de compromission à vérifier [2][3]. En cas de suspicion de compromission, il est recommandé de continuer les investigations (cf. bons réflexes en cas d'intrusion sur votre système d'information [4]).

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Alerte de sécurité de l'éditeur 3CX du 30 mars 2023
https://www.3cx.com/blog/news/desktopapp-security-alert/  
- [1] Manuel d'utilisation 3CX Web Client (PWA)
https://www.3cx.com/user-manual/web-client/  
- [2] Rapport CrowdStrike du 29 mars 2023
https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/  
- [3] Rapport SentinelOne
https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/  
- Avis ENISA EU
https://github.com/enisaeu/CNW/blob/main/advisories/CVE-2023-XXXXX_3CX-DesktopApp.md  
- [4] Les bons réflexes en cas d’intrusion sur un système d’information
https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/  

Dernière version du document

https://www.cert.ssi.gouv.fr/alerte/CERTFR-2023-ALE-003/

CERTFR-2024-ALE-007_Multiples vulnerabilites dans les produits Cisco

02 mai 2024
actualite

Objet :Multiples vulnérabilités dans les produits CiscoRéférence : CERTFR-2024-ALE-007Risque(s) - Déni de service à distance- Exécution de code arb... Lire la suite[+]

CERTFR-2024-ALE-006_Vulnerabilite dans Palo Alto Networks PAN-OS

12 avril 2024
actualite

Objet : Vulnérabilité dans Palo Alto Networks PAN-OSRéférence : CERTFR-2024-ALE-006Risque(s) Exécution de code arbitraire à distance Systèmes a... Lire la suite[+]

Toutes les alertes du cert-mc et du cert-fr
Contact

Agence Monégasque de Sécurité Numérique
24 rue du Gabian 
98000 MONACO

AMSN_contact@gouv.mc

Téléphone : (+377) 98 98 24 93
Voir sur le plan


Bouton Alertes CSIRT-MC


       INFORMATIONS            PRATIQUES
Textes
Demande d'autorisation loi n°1.383
Sécurité Nationale
Conseils élémentaires
//amsn.gouv.mc/Alertes-du-CERT-MC-et-du-CERT-FR/Compromission-de-l-application-3CX-Desktop-App