Update 08.05.2023 - 16:38
Weitere neue Erkenntnisse zu dem 3CX-Vorfall sind für die Universität Ulm bislang nicht mehr bekannt geworden. Die Anzahl der betroffenen Rechner ist nur sehr klein. Alle Betroffenen wurden informiert. Als einzige mit Sicherheit verlässliche Maßnahme zur Schadensbeseitigung wird das Neuaufsetzen des Rechners empfohlen.
Update 24.04.2023 - 10:26
Die Unternehmen Mandiant und 3CX haben weitere Ergebnisse der Untersuchung des Sicherheitsvorfalls auf der Homepage von 3CX veröffentlicht.
Wichtig: Neben Informationen zum Aufbau und Ablauf des Angriffs wurden auch weitere Indicators-of-Compromise veröffentlicht.
Update 11.04.2023 - 13:15
Bislang liegen keine Erkenntnisse vor, die darauf hindeuten, dass weitere als die bereits genannten Versionen oder Clients betroffen wären. Es gibt verschiedene Empfehlungen, Systeme auf Schadcode zu untersuchen. Letztlich kann zur Zeit nur dazu geraten werden, alle Systeme, auf denen die infizierte 3CX Desktop-App installiert war, neu aufzusetzen. Aktuelle Hinweise und Tipps sind vor allem im Nutzerforum von 3CX zu finden.
Update 05.04.2023 - 09:40
Obwohl wir nach wie vor davon ausgehen, dass für Nutzer an der Universität Ulm nur die Desktop-App für MacOS betroffen ist, empfehlen wir derzeit, die 3CX Desktop-App generell nicht mehr zu verwenden. Wenn möglich, deinstallieren Sie diese Software und verwenden stattdessen die Handy-App oder die rein browser-basierte Version.
Stand 04.04.2023 - 20:20
Am 02.04. haben wir alle potenziell betroffenen Nutzer der 3CX Desktop-App an der Universität Ulm darüber in Kenntnis gesetzt, dass bestimmte Versionen dieser Software bereits vom Hersteller mit Schadcode ausgeliefert wurden. Diese an alle Kunden weltweit ausgelieferten Versionen enthalten einen Trojaner, der in der Lage ist, mit einem von den Cyberkriminellen kontrollierten Netzwerk Kontakt aufzunehmen und beliebigen weiteren Schadcode nachzuladen. Rechner, auf denen die infizierte Desktop-App von 3CX installiert ist, müssen daher grundsätzlich als kompromittiert gelten.
Betroffen ist von dem Problem allerdings nach bisherigem Kenntnisstand ausschließlich die Desktop-App für MacOS in der Version 18.11.1213 oder höher.
Es sind keine Windows-Versionen betroffen, die an der Universität Ulm jemals über die Update-Funktion der Telefonanlage ausgeliefert wurden. Nicht betroffen sind außerdem die Handy-Apps (iOS, Android) und die rein web-basierte Client-Software (WebRTC), die ausschließlich einen Internetbrowser benötigt.
Die (geringe Anzahl) MacOS-Nutzer, welche die maligne Version der Desktop-App verwendet haben, wurden benachrichtigt. Nutzer, deren Status nicht geklärt werden konnte, wurden vorsorglich gesperrt. Die infizierten Rechner dürfen nicht mehr mit dem Netzwerk der Universität (LAN und WLAN) verbunden werden. Sofern die Rechner dringend benötigt werden oder kein Ausweichgerät zur Verfügung steht, müssen die Rechner neu installiert werden. Ein Backup von Betriebssystem/Anwendungen muss älter als der 16.03. sein, da sonst die infizierte 3CX-App wieder mit eingespielt wird.
Sofern Sie nicht zeitnah auf den Rechner angewiesen sind, bitten wir Sie noch um etwas Geduld bis wir Ihnen möglicherweise eine Vorgehensweise empfehlen können, die ohne eine Neuinstallation auskommt.
Rückfragen sind ausschließlich an den Helpdesk des kiz zu richten.
(Hö)