3CX Desktop App 遭受软件供应链攻击(CVE-2023-29059)
漏洞描述
3CX Desktop App 是一款集成电话、视频会议、即时消息等多种通信方式的桌面软件,在海外有较多企业客户使用。
疑似由于3CX Desktop App通过git构建时引入了受供应链攻击的代码库,且使用由Sectigo颁发并由 DigiCert加盖时间戳的合法 3CX Ltd 证书进行数字签名。
受影响的安装包中包含了ffmpeg.dll和d3dcompiler_47.dll两个恶意DLL文件,当用户安装时,会加载恶意ffmpeg.dll,并从d3dcompiler_47.dll中提取payload,进而对系统信息进行收集,从Chrome,Edge,Brave和Firefox用户配置文件中窃取数据和存储的凭据等,造成敏感数据泄露。
| 漏洞名称 | 3CX Desktop App 遭受软件供应链攻击 |
|---|---|
| 漏洞类型 | 代码注入 |
| 发现时间 | 2023/3/31 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2023-9187 |
| CVE编号 | CVE-2023-29059 |
| CNVD编号 | - |
影响范围
Electron Mac 3CXDesktop App@[18.12.407, 18.12.407]
Electron Mac 3CXDesktop App@[18.12.402, 18.12.402]
Electron Mac 3CXDesktop App@[18.11.1213, 18.11.1213]
Electron Windows 3CXDesktop App shipped in Update 7@[18.12.416, 18.12.416]
Electron Windows 3CXDesktop App shipped in Update 7@[18.12.407, 18.12.407]
Electron Mac 3CXDesktop App@[18.12.416, 18.12.416]
修复方案
建议受影响用户使用PWA App,参考链接:https://www.3cx.com/user-manual/web-client/
参考链接
https://www.oscs1024.com/hd/MPS-2023-9187
https://nvd.nist.gov/vuln/detail/CVE-2023-29059
https://cwe.mitre.org/data/definitions/506.html
https://www.3cx.com/blog/news/desktopapp-security-alert/
https://cwe.mitre.org/data/definitions/506.html
https://www.fortinet.com/blog/threat-research/3cx-desktop-app-compromised
https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/
https://www.virustotal.com/gui/file/dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc/details
关于墨菲安全
墨菲安全是一家为您提供专业的软件供应链安全管理的科技公司,核心团队来自百度、华为、乌云等企业,公司为客户提供完整的软件供应链安全管理平台,围绕SBOM提供软件全生命周期的安全管理,平台能力包括软件成分分析、源安全管理、容器镜像检测、漏洞情报预警及商业软件供应链准入评估等多个产品。为客户提供从供应链资产识别管理、风险检测、安全控制、一键修复的完整控制能力。
开源项目:https://github.com/murphysecurity/murphysec/?sf=qbyj
产品可以极低成本的和现有开发流程中的各种工具一键打通,包括 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。
免费代码安全检测工具: https://www.murphysec.com/?sf=qbyj
免费情报订阅: https://www.oscs1024.com/cm/?sf=qbyj
