VoIP-Anbieter 3CX: Die doppelte Supply-Chain-Attacke
Eine Analyse zeigt, dass die Verteilung des kompromittierten VoIP-Clients von 3CX auf einen vorausgehenden Lieferketten-Angriff zurückgeht.
(Bild: dpa, Silas Stein)
Wie konnten die Angreifer beim Sicherheitsvorfall beim Anbieter von VoIP-Software 3CX eigentlich den Client Softphone mit Schadcode verseuchen? Ein aktueller Bericht des Sicherheitsunternehmens Mandiant bringt nun Licht ins Dunkel und zeigt auf, dass dahinter offensichtlich eine weitere Supply-Chain-Attacke steckt.
Kaskadierende Supply-Chain-Attacke
Wie Sicherheitsforscher in ihrer Analyse ausführen, soll die höchstwahrscheinlich hinter dem Angriff steckende nordkoreanische Gruppe UNC4736 zuerst die Aktienhandel-Website von Trading Technologies erfolgreich attackiert haben. Dort sollen sie die X_Trader-Software mit Schadcode verseucht haben. Diese habe dann ein Mitarbeiter von 3CX installiert. Darüber konnten die Angreifer dann die Malware Veiledsignal installieren, um damit Zugangsdaten des Mitarbeiters zu kopieren.
Mit diesen Daten ausgestattet konnten sich die Angreifer im System von 3CX ausbreiten und offensichtlich auf die macOS- und Windows-Build-Systeme zugreifen, führt 3CX in einem Statement aus. Das ist Mandiant zufolge der erste Fall, in dem eine Supply-Chain-Attacke zu einer weiteren Supply-Chain-Attacke geführt hat.
Zweifache Bedrohung
Admins müssen jetzt also doppelt aufpassen. Der betroffene 3CX-Client Softphone für macOS und Windows soll bei 600.000 Kunden wie American Express, Ikea und McDonald's zum Einsatz kommen und er soll täglich 12 Millionen Nutzer aufweisen. Betroffene sollten die App 3CX zufolge umgehend deinstallieren und die PWA Web Client App nutzen. Mit einer erweiterten Version des Scanner Thor Lite können Admins prüfen, ob ihre Systeme betroffen sind.
Zusätzlich müssen Admins Ausschau nach der X_Trader-Software halten und sie ebenfalls zügig deinstallieren. Medienberichten zufolge hat der Anbieter bislang nichts gegen die kompromittierte Software, die sich nicht mehr im Support befindet, unternommen.
Systeme härten
In ihrem 7 Step Security Action Plan führt 3CX aus, wie sie ihre Systeme künftig effektiver vor solchen Attacken schützen wollen. Dazu gehört unter anderem die Härtung des Netzwerkes, effektivere Zugriffsbeschränkungen und regelmäßige Pentests.
Ablauf des Sicherheitsvorfalls
Ende März registrierte das auf die Früherkennung von Angriffen spezialisierte Unternehmen CrowdStrike erste Anezichen dafür, dass der Softphone-Client von 3CX mit Schadcode verseucht und auf der offiziellen Website zum Download angeboten wurde. Kurz darauf schlug das Bundesamt für Sicherheit in der Informationstechnik Alarm. Der Angriffsvektor war bislang unklar.
(des)
