3CX Desktop App 遭受软件供应链攻击
漏洞描述
3CX Desktop App 是一款集成电话、视频会议、即时消息等多种通信方式的桌面软件,在海外有较多企业客户使用。
疑似由于3CX Desktop App通过git构建时引入了受供应链攻击的代码库,且使用由 Sectigo颁发并由 DigiCert加盖时间戳的合法 3CX Ltd 证书进行数字签名。
受影响的安装包中包含了ffmpeg.dll和d3dcompiler_47.dll两个恶意DLL文件,当用户安装时,会加载恶意ffmpeg.dll,并从d3dcompiler_47.dll中提取payload,进而对系统信息进行收集,从Chrome,Edge,Brave和Firefox用户配置文件中窃取数据和存储的凭据等,造成敏感数据泄露。
| 漏洞名称 | 3CX Desktop App 遭受软件供应链攻击 |
|---|---|
| 漏洞类型 | 代码注入 |
| 发现时间 | 2023-03-31 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-9187 |
| CVE编号 | CVE-2023-29059 |
| CNVD编号 | - |
影响范围
Electron Mac 3CXDesktop App@[18.12.416, 18.12.416]
Electron Mac 3CXDesktop App@[18.12.407, 18.12.407]
Electron Mac 3CXDesktop App@[18.12.402, 18.12.402]
Electron Mac 3CXDesktop App@[18.11.1213, 18.11.1213]
Electron Windows 3CXDesktop App shipped in Update 7@[18.12.416, 18.12.416]
Electron Windows 3CXDesktop App shipped in Update 7@[18.12.407, 18.12.407]
修复方案
使用PWA App,PWA App的安装方法可以参考下面链接: https://www.3cx.com/user-manual/web-client/
参考链接
https://www.oscs1024.com/hd/MPS-2023-9187
https://nvd.nist.gov/vuln/detail/CVE-2023-29059
https://cwe.mitre.org/data/definitions/506.html
https://www.3cx.com/blog/news/desktopapp-security-alert/
https://cwe.mitre.org/data/definitions/506.html
https://www.fortinet.com/blog/threat-research/3cx-desktop-app-compromised
免费情报订阅&代码安全检测
OSCS是国内首个开源软件供应链安全社区,社区联合开发者帮助全球顶级开源项目解决安全问题,并提供实时的安全漏洞情报,同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。
免费代码安全检测工具: https://www.murphysec.com/?src=osc
免费情报订阅: https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见: https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
