【安全漏洞公告】3CX Desktop App 遭受軟件供應鏈攻擊(CVE-2023-29059)
發布(bu)時(shi)間(jian):2023-04-03
來源(yuan):圣(sheng)博(bo)潤
一、漏洞簡介
|
CVE ID
|
CVE-2023-29059
|
公開日期
|
2023-03-31
|
|
危害級別
|
高危
|
攻擊復雜程度
|
低
|
|
POC/EXP
|
|
攻擊途徑
|
遠程網絡
|
3CX Desktop App 是一款集成電話、視頻會議、即時消息等多種通信方式的桌面軟件,在海外有較多企業客戶使用。
疑似由于 3CX Desktop App 通過 git 構建時引入了受供應鏈攻擊的代碼庫,且使用由 Sectigo 頒發并由 DigiCert 加蓋時間戳的合法 3CX Ltd 證書進行數字簽名。
受影響的安裝包(bao)中包(bao)含了 ffmpeg.dll 和(he) d3dcompiler_47.dll 兩個(ge)惡意 DLL 文件,當用(yong)戶安裝時,會加載(zai)惡意 ffmpeg.dll,并從(cong) d3dcompiler_47.dll 中提取(qu) payload,進而(er)對系(xi)統信息進行收集,從(cong) Chrome,Edge,Brave 和(he) Firefox 用(yong�������)戶配置文件中竊取(qu)數據(ju)和(he)存儲的憑據(ju)等,造(zao)成(che�����ng)敏感數據(ju)泄露(lu)。
二、影響范圍
Electron Mac 3CXDesktop A�����pp@[18.12.416, 18.12.416]
E��������lectron Mac 3CXDesktop App�����@[18.12.407, 18.12.407]
Electron Mac 3CXDesktop A�����������pp@[18.12.402, 18.12.402]
Electron Mac 3CXDesktop A��������pp������@[18.11.1213, 18.11.1213]
������
Electron ��������Windows 3CXDesktop App shipped in Update 7@[18.12.416, 18.12.416]
Electron Windows 3C�����XDesktop App shipped in Update 7@[18.12.407, 18.12.407]
三、解決措施
目(mu)前3CX暫未發布受(shou)(shou)影(ying)響(xiang)(xiang)產品的修復版本,受(shou)(shou)影(ying)響(xiang)(xiang)用戶可安(an)裝不受(shou)(shou)影(ying����)響(xiang)(xiang)的程序版本。
下(xia)載鏈(lian)接:
//www.3cx.com/
四、參(can)考鏈接
//www.oscs1024.com/hd/MPS-2023-9187
//nvd.nist.gov/vuln/detail/CVE-2023-29059
//cwe.mitre.org/data/definitions/506.html
//www.3cx.co����m/blog/news/desktopapp-security-a������lert/
//www.fortinet.com/blog/threat-research/3cx-desktop-app-comprom������ised
//www.bleepingcomputer.com/news/security/hackers-compromise-3cx-de������sktop-app-in-a-�������supply-chain-attack/
//www������.virustotal.com/gui/file/dde03348075512796241389dfea5560c20a3d2a2eac95c894e7bbed5e85a0acc/details
�������
