东森平台

首页 > 宁静研究 > 宁静通报 > 宁静通告

【漏洞通告】3CX DesktopApp代码执行漏洞（CVE-2023-29059）

宣布时间 2023-03-31

一、漏洞概述

CVE ID	CVE-2023-29059	发现时间	2023-03-31
类型	代码执行	等级	高危
攻击向量	网络	所需权限
攻击庞大度	低	用户交互	是
PoC/EXP		在野利用	是

3CX 是一家 VoIP IPBX 软件开发公司，其全球用户凌驾600000，日活用户量凌驾1200万。3CX DesktopApp是一种广泛使用的跨平台语音和视频会议应用法式。

3月31日，东森平台VSRC监测到针对3CX 软件及其客户的供应链攻击（追踪为CVE-2023-29059），该漏洞是由于3CX DesktopApp部门版本在构建安装法式时，内嵌了恶意代码，当法式安装时会执行恶意代码，并下载恶意Payload到目标环境中执行。

该攻击通过利用木马化3CX DesktopApp（Windows版本和Mac 版本），且使用合法的 3CX Ltd. 证书进行签名，该证书由 DigiCert 发表。研究人员体现，这种木马化的 3CX DesktopApp是多阶段攻击链中的第一阶段，它从Github中提取附加了base64数据的ICO文件，并最终导致第三阶段的信息窃取法式 DLL。

二、影响范围

Electron Windows App shipped in Update 7 版本：18.12.407

Electron Windows App shipped in Update 7 版本：18.12.416

Electron Mac App版本：18.11.1213

Electron Mac App版本：18.12.402

Electron Mac App版本：18.12.407

Electron Mac App版本：18.12.416

三、宁静措施

3.1 升级版本

目前3CX暂未宣布受影响产物的修复版本，受影响用户可安装不受影响的法式版本。

下载链接：

https://www.3cx.com/

3.2 临时措施

IOC

dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc – Windows app

aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – Windows installer

fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405 – Windows app

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – Windows installer

92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61 – macOS app

5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – macOS installer

b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb – macOS app

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – macOS installer

11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – Infostealer (d3dcompiler_47.dll)

7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 - Infostealer (ffmpeg.dll )

aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 - Infostealer

c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 - Infostealer (ffmpeg.dll)

fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 - Malicious macOS library (libffmpeg.dylib)

a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 - Malicious macOS library (libffmpeg.dylib)

210c9882eba94198274ebc787fe8c88311af24932832a7fe1f1ca0261f815c3d – Malicious ICO file (icon0.ico)

a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c – Malicious ICO file (icon1.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090 – Malicious ICO file (icon10.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090 – Malicious ICO file (icon11.ico)

d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a – Malicious ICO file (icon12.ico)

4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f – Malicious ICO file (icon13.ico)

8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d – Malicious ICO file (icon14.ico)

f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3 – Malicious ICO file (icon15.ico)

2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f – Malicious ICO file (icon2.ico)

268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca – Malicious ICO file (icon3.ico)

c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd – Malicious ICO file (icon4.ico)

c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396 – Malicious ICO file (icon5.ico)

f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182 – Malicious ICO file (icon6.ico)

2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de – Malicious ICO file (icon7.ico)

e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c – Malicious ICO file (icon8.ico)

d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e – Malicious ICO file (icon9.ico)

akamaicontainer[.]com

akamaitechcloudservices[.]com

azuredeploystore[.]com

azureonlinecloud[.]com

azureonlinestorage[.]com

dunamistrd[.]com

glcloudservice[.]com

journalide[.]org

msedgepackageinfo[.]com

msstorageazure[.]com

msstorageboxes[.]com

officeaddons[.]com

officestoragebox[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

pbxsources[.]com

qwepoi123098[.]com

sbmsa[.]wiki

sourceslabs[.]com

visualstudiofactory[.]com

zacharryblogs[.]com

raw.githubusercontent[.]com/IconStorages/images/main/

分析链接：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3cx-supply-chain-attack

3.3 通用建议

l 定期更新系统补丁，减少系统漏洞，提升服务器的宁静性。

l 加强系统和网络的访问控制，修改防火墙计谋，关闭非须要的应用端口或服务，减少将危险服务（如SSH、RDP等）袒露到公网，减少攻击面。

l 使用企业级宁静产物，提升企业的网络宁静性能。

l 加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

l 启用强密码计谋并设置为定期修改。

3.4 参考链接

https://www.3cx.com/blog/news/desktopapp-security-alert/

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/

https://www.kaspersky.com/blog/supply-chain-attack-on-3cx/47698/

https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/

四、版本信息

版本	日期	备注
V1.0	2023-03-31	首次宣布

五、附录

5.1 东森平台简介

东森平台建立于1996年，是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息宁静高科技企业。是国内最具实力的信息宁静产物、宁静服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园东森平台大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个，拥有笼罩全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，东森平台致力于提供具有国际竞争力的自主创新的宁静产物和最佳实践服务，资助客户全面提升其IT基础设施的宁静性和生产效能，为打造和提升国际化的民族信息宁静工业领军品牌而不懈努力。

5.2 关于东森平台

东森平台宁静应急响应中心已宣布1000多个漏洞通告和风险预警，我们将连续跟踪全球最新的网络宁静事件和漏洞，为企业的信息宁静保驾护航。

关注我们：

上一篇下一篇

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 东森平台版权所有京ICP备05032414号京公网安备11010802024551号