3CX DesktopApp 사용 주의 (CVE-2023-29059)
개요
3CX DesktopApp을 통해 공급망 공격이 이루어졌다는 내용이 공개되었다.[1] 해당 소프트웨어는 통화, 화상 회의 등 사용자에게 여러 통신 기능을 제공하며 Windows, MAC 운영체제 환경에서 구동이 가능하다. 현재 3CX 업체에서는 새로운 인증서를 발급하기 위하여 준비 중이며 그 전까지는 다른 소프트웨어를 대체하여 사용할 것을 가이드하고 있다.
설명
관련하여 유포된 악성코드는 악의적인 기능을 수행하는 모듈들을 포함한 MSI, DMG 형태의 설치 파일인 것으로 확인된다. 3CXDesktopApp.exe가 악성 모듈인 ffmpeg.dll을 로드하고, 이후 d3dcompiler.dll를 추가 로드하여 메모리 상에서 실행한다. 메모리 상에서 실행되는 악성코드는 다운로더로서 최종적으로 정보 탈취형 인포스틸러 악성코드를 다운로드하여 실행하는 것으로 알려져 있다.
대상 제품
Electron Windows application shipped in Update 7
18.12.407
18.12.416
Electron macOS application
18.11.1213
18.12.402
18.12.407
18.12.416
취약점 패치
2023년 4월 6일 보안 패치가 제공 됨에 따라 취약 버전 사용자는 최신 버전인 3CX DesktopApp 18.12.425으로 업데이트가 필요
[1] 3CX Hosted/StartUP 고객 : 추가 조치 필요 없음
[2] 자체 호스팅 및 온프레미스 (On-Premise) 고객 : 다음의 절차 참고
- 관리 콘솔 실행
- 업데이트 메뉴 실행
- Windows DesktopApp 다운로드 : https://downloads-global.3cx.com/downloads/v180/templates/clients/3CXDesktopApp-18.12.425.msi
- Mac Electron DesktopApp 다운로드 : https://downloads-global.3cx.com/downloads/v180/templates/clients/3CXDesktopApp-18.12.425.dmg
해결 방안
3CX 업체에서는 PWA 어플리케이션을 대신 사용할 것으로 권장
- PWA 설치 가이드 : https://www.3cx.com/blog/releases/web-client-pwa/
탐지 정보 및 IOC
[파일 탐지]
Dropper/MSI.Agent
Trojan/Win.Loader.C5403102
Trojan/Win.Agent.C5403110
Trojan/Win.Loader.C5403103
Infostealer/Win.Agent.C5403954
Trojan/BIN.Agent
Data/BIN.Encoded
Trojan/OSX.Agent
Trojan/OSX.Loader
[행위 탐지]
Connection/MDP.Event.M4581
Connection/MDP.Event.M11026
Exploit/MDP.Event.M11027
[References]
1) 제조사 공지 : https://www.3cx.com/blog/news/desktopapp-security-alert/
2) CVE-2023-29059 : https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-29059
3) CWE-506 : https://cwe.mitre.org/data/definitions/506.html
AhnLab TIP를 구독하시면 연관 IOC 및 상세 분석 정보를 추가적으로 확인하실 수 있습니다. 자세한 내용은 아래 배너를 클릭하여 확인해보세요.
