Gebruikers van het populaire voip-pakket 3CX lopen risico op malware. Het euvel zit in de recentste software-update, die is besmet met slechte code. Het Nationaal Cyber Security Centrum (NCSC) in Nederland en de leverancier roepen gebruikers op direct maatregelen te nemen.
De desktop-app van 3CX kreeg eind maart een software-update (update 7), die besmet blijkt te zijn met malware. De leverancier werkt aan een nieuwe versie waarmee dit probleem moet worden verholpen. Deze komt zo snel mogelijk beschikbaar, schrijft het NCSC.
Volledig verwijderen
Organisaties die update 7 hebben geïnstalleerd, wordt aangeraden het softwareprogramma volledig te verwijderen. Het gaat daarbij specifiek om de desktop-app, die lokaal draait. De leverancier adviseert om tijdelijk de webapplicatie van de toepassing te gebruiken.
Na volledige verwijdering van de software moeten organisaties hun systemen ‘grondig onderzoeken’, meldt het NCSC. Op deze webpagina van het NCSC staan bronnen met tools, Yara- en Sigma-regels en indicatoren die je voor dit onderzoek kunt gebruiken. Organisaties die 3CX gebruiken via een tussenpersoon wordt geadviseerd contact op te nemen met deze leverancier.
DLL sideloading
De malware is opgemerkt door Crowdstrike. Volgens de ict-beveiliger speelt het gevaar zowel bij Windows- als MacOS-apparaten, en is het nog niet ontdekt op Linux- en mobiele apparaten.
Ook Sophos komt met een reactie op de malware. Volgens dit securitybedrijf hebben de aanvallers ‘een installatieprogramma toegevoegd dat DLL-sideloading gebruikt om uiteindelijk een kwaadaardige, gecodeerde payload op te halen.’ Deze tactieken zijn vergelijkbaar met DLL-sideloading-activiteit die eerder is waargenomen, aldus het Britse bedrijf. ‘We hebben drie van de cruciale componenten van dit DLL-sideloadingscenario geïdentificeerd dat is ingebed in het pakket van de leverancier.’
Naar eigen zeggen wordt 3CX wereldwijd door meer dan zeshonderdduizend organisaties en twaalf miljoen mensen gebruikt. Onder de klanten bevinden zich Mercedes-Benz, Coca-Cola, McDonald’s, PwC, Pepsi en AirFrance.
