【漏洞通告】3CX DesktopApp代码执行漏洞（CVE

CVE   ID

CVE-2023-29059

发现时间

2023-03-31

类    型

代码执行

等    级

高危

攻击向量

网络

所需权限

攻击复杂度

低

用户交互

是

PoC/EXP

在野利用

是

3CX 是一家 VoIP IPBX 软件开发公司，其全球用户超过600000，日活用户量超过1200万。3CX DesktopApp是一种广泛使用的跨平台语音和视频会议应用程序。

3月31日，启明星辰VSRC监测到针对3CX 软件及其客户的供应链攻击（追踪为CVE-2023-29059），该漏洞是由于3CX DesktopApp部分版本在构建安装程序时，内嵌了恶意代码，当程序安装时会执行恶意代码，并下载恶意Payload到目标环境中执行。

该攻击通过利用木马化3CX DesktopApp（Windows版本和Mac 版本），且使用合法的 3CX Ltd. 证书进行签名，该证书由 DigiCert 颁发。研究人员表示，这种木马化的 3CX DesktopApp是多阶段攻击链中的第一阶段，它从Github中提取附加了base64数据的ICO文件，并最终导致第三阶段的信息窃取程序 DLL。

Electron Windows App shipped in Update 7 版本：18.12.407

Electron Windows App shipped in Update 7 版本：18.12.416

Electron Mac App版本：18.11.1213

Electron Mac App版本：18.12.402

Electron Mac App版本：18.12.407

Electron Mac App版本：18.12.416

目前3CX暂未发布受影响产品的修复版本，受影响用户可安装不受影响的程序版本。

下载链接：

https://www.3cx.com/

IOC

dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc – Windows app

aa124a4b4df12b34e74ee7f6c683b2ebec4ce9a8edcf9be345823b4fdcf5d868 – Windows installer

fad482ded2e25ce9e1dd3d3ecc3227af714bdfbbde04347dbc1b21d6a3670405 – Windows app

59e1edf4d82fae4978e97512b0331b7eb21dd4b838b850ba46794d9c7a2c0983 – Windows installer

92005051ae314d61074ed94a52e76b1c3e21e7f0e8c1d1fdd497a006ce45fa61 – macOS app

5407cda7d3a75e7b1e030b1f33337a56f293578ffa8b3ae19c671051ed314290 – macOS installer

b86c695822013483fa4e2dfdf712c5ee777d7b99cbad8c2fa2274b133481eadb – macOS app

e6bbc33815b9f20b0cf832d7401dd893fbc467c800728b5891336706da0dbcec – macOS installer

11be1803e2e307b647a8a7e02d128335c448ff741bf06bf52b332e0bbf423b03 – Infostealer (d3dcompiler_47.dll)

7986bbaee8940da11ce089383521ab420c443ab7b15ed42aed91fd31ce833896 - Infostealer (ffmpeg.dll )

aa4e398b3bd8645016d8090ffc77d15f926a8e69258642191deb4e68688ff973 - Infostealer

c485674ee63ec8d4e8fde9800788175a8b02d3f9416d0e763360fff7f8eb4e02 - Infostealer (ffmpeg.dll)

fee4f9dabc094df24d83ec1a8c4e4ff573e5d9973caa676f58086c99561382d7 - Malicious macOS library (libffmpeg.dylib)

a64fa9f1c76457ecc58402142a8728ce34ccba378c17318b3340083eeb7acc67 - Malicious macOS library (libffmpeg.dylib)

210c9882eba94198274ebc787fe8c88311af24932832a7fe1f1ca0261f815c3d – Malicious ICO file (icon0.ico)

a541e5fc421c358e0a2b07bf4771e897fb5a617998aa4876e0e1baa5fbb8e25c – Malicious ICO file (icon1.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090 – Malicious ICO file (icon10.ico)

d459aa0a63140ccc647e9026bfd1fccd4c310c262a88896c57bbe3b6456bd090 – Malicious ICO file (icon11.ico)

d51a790d187439ce030cf763237e992e9196e9aa41797a94956681b6279d1b9a – Malicious ICO file (icon12.ico)

4e08e4ffc699e0a1de4a5225a0b4920933fbb9cf123cde33e1674fde6d61444f – Malicious ICO file (icon13.ico)

8c0b7d90f14c55d4f1d0f17e0242efd78fd4ed0c344ac6469611ec72defa6b2d – Malicious ICO file (icon14.ico)

f47c883f59a4802514c57680de3f41f690871e26f250c6e890651ba71027e4d3 – Malicious ICO file (icon15.ico)

2c9957ea04d033d68b769f333a48e228c32bcf26bd98e51310efd48e80c1789f – Malicious ICO file (icon2.ico)

268d4e399dbbb42ee1cd64d0da72c57214ac987efbb509c46cc57ea6b214beca – Malicious ICO file (icon3.ico)

c62dce8a77d777774e059cf1720d77c47b97d97c3b0cf43ade5d96bf724639bd – Malicious ICO file (icon4.ico)

c13d49ed325dec9551906bafb6de9ec947e5ff936e7e40877feb2ba4bb176396 – Malicious ICO file (icon5.ico)

f1bf4078141d7ccb4f82e3f4f1c3571ee6dd79b5335eb0e0464f877e6e6e3182 – Malicious ICO file (icon6.ico)

2487b4e3c950d56fb15316245b3c51fbd70717838f6f82f32db2efcc4d9da6de – Malicious ICO file (icon7.ico)

e059c8c8b01d6f3af32257fc2b6fe188d5f4359c308b3684b1e0db2071c3425c – Malicious ICO file (icon8.ico)

d0f1984b4fe896d0024533510ce22d71e05b20bad74d53fae158dc752a65782e – Malicious ICO file (icon9.ico)

akamaicontainer[.]com

akamaitechcloudservices[.]com

azuredeploystore[.]com

azureonlinecloud[.]com

azureonlinestorage[.]com

dunamistrd[.]com

glcloudservice[.]com

journalide[.]org

msedgepackageinfo[.]com

msstorageazure[.]com

msstorageboxes[.]com

officeaddons[.]com

officestoragebox[.]com

pbxcloudeservices[.]com

pbxphonenetwork[.]com

pbxsources[.]com

qwepoi123098[.]com

sbmsa[.]wiki

sourceslabs[.]com

visualstudiofactory[.]com

zacharryblogs[.]com

raw.githubusercontent[.]com/IconStorages/images/main/

分析链接：

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/3cx-supply-chain-attack

l  定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

l  加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

l  使用企业级安全产品，提升企业的网络安全性能。

l  加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

l  启用强密码策略并设置为定期修改。

https://www.3cx.com/blog/news/desktopapp-security-alert/

https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/

https://www.kaspersky.com/blog/supply-chain-attack-on-3cx/47698/

https://www.bleepingcomputer.com/news/security/hackers-compromise-3cx-desktop-app-in-a-supply-chain-attack/

版本

日期

备注

V1.0

2023-03-31

首次发布

启明星辰成立于1996年，是由留美博士严望佳女士创建的、拥有完全自主知识产权的信息安全高科技企业。是国内最具实力的信息安全产品、安全服务解决方案的领航企业之一。

公司总部位于北京市中关村软件园启明星辰大厦，公司员工6000余人，研发团队1200余人, 技术服务团队1300余人。在全国各省、市、自治区设立分支机构六十多个，拥有覆盖全国的销售体系、渠道体系和技术支持体系。公司于2010年6月23日在深圳中小板挂牌上市。（股票代码：002439）

多年来，启明星辰致力于提供具有国际竞争力的自主创新的安全产品和最佳实践服务，帮助客户全面提升其IT基础设施的安全性和生产效能，为打造和提升国际化的民族信息安全产业领军品牌而不懈努力。

启明星辰安全应急响应中心已发布1000多个漏洞通告和风险预警，我们将持续跟踪全球最新的网络安全事件和漏洞，为企业的信息安全保驾护航。

关注我们：