3CX Desktop App 遭受软件供应链攻击

漏洞描述

3CX Desktop App 是一款集成电话、视频会议、即时消息等多种通信方式的桌面软件，在海外有较多企业客户使用。

疑似由于3CX Desktop App通过git构建时引入了受供应链攻击的代码库，且使用由 Sectigo颁发并由 DigiCert加盖时间戳的合法 3CX Ltd 证书进行数字签名。

受影响的安装包中包含了ffmpeg.dll和d3dcompiler_47.dll两个恶意DLL文件，当用户安装时，会加载恶意ffmpeg.dll，并从d3dcompiler_47.dll中提取payload，进而对系统信息进行收集，从Chrome，Edge，Brave和Firefox用户配置文件中窃取数据和存储的凭据等，造成敏感数据泄露。

漏洞名称	3CX Desktop App 遭受软件供应链攻击
漏洞类型	代码注入
发现时间	2023-03-31
漏洞影响广度	广
MPS编号	MPS-2023-9187
CVE编号	CVE-2023-29059
CNVD编号	-

影响范围

Electron Mac 3CXDesktop App@[18.12.416, 18.12.416]

Electron Mac 3CXDesktop App@[18.12.407, 18.12.407]

Electron Mac 3CXDesktop App@[18.12.402, 18.12.402]

Electron Mac 3CXDesktop App@[18.11.1213, 18.11.1213]

Electron Windows 3CXDesktop App shipped in Update 7@[18.12.416, 18.12.416]

Electron Windows 3CXDesktop App shipped in Update 7@[18.12.407, 18.12.407]

修复方案

使用PWA App，PWA App的安装方法可以参考下面链接： https://www.3cx.com/user-manual/web-client/

参考链接

https://www.oscs1024.com/hd/MPS-2023-9187

https://nvd.nist.gov/vuln/detail/CVE-2023-29059

https://cwe.mitre.org/data/definitions/506.html

https://www.3cx.com/blog/news/desktopapp-security-alert/

https://cwe.mitre.org/data/definitions/506.html

https://www.fortinet.com/blog/threat-research/3cx-desktop-app-compromised

https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/

https://www.virustotal.com/gui/file/dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc/details

免费情报订阅&代码安全检测

OSCS是国内首个开源软件供应链安全社区，社区联合开发者帮助全球顶级开源项目解决安全问题，并提供实时的安全漏洞情报，同时提供专业的代码安全检测工具为开发者免费使用。社区开发者可以通过配置飞书、钉钉、企业微信机器人获取一手的情报。

免费代码安全检测工具： https://www.murphysec.com/?src=osc

免费情报订阅： https://www.oscs1024.com/cm/?src=osc

具体订阅方式详见： https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc