Résumé
Le 30 mars 2023, l'éditeur a publié un communiqué concernant la
compromission de leur application de bureau 3CX (3CX Desktop App).
Cette application de conférence vocale et vidéo, dans certaines
versions, est infectée par un cheval de Troie qui rend possible le
déploiement d'une charge utile à des fins malveillantes.
Le CERT-FR ne peut pas confirmer, à ce stade, si d'autres versions que
celles mentionnées dans la section Systèmes affectés sont compromises.
Il est donc très fortement recommandé, quelle que soit la version, de
désinstaller l'application de bureau 3CX et de suivre la recommandation
de l'éditeur consistant à utiliser l'application web PWA. L'éditeur
propose un manuel d'utilisation qui peut simplifier cette transition
[1].
Par ailleurs, il est aussi indispensable de procéder à une
vérification des postes qui disposaient de cette application afin de
s'assurer qu'ils n'ont pas été compromis. Pour cela, plusieurs rapports
en source ouverte proposent des marqueurs de compromission à vérifier
[2][3]. En cas de suspicion de compromission, il est recommandé de
continuer les investigations (cf. bons réflexes en cas d'intrusion sur
votre système d'information [4]).
Solution
[Mise à jour du 11 avril 2023] Le
31 mars, l'éditeur a publié une nouvelle version de son application de
bureau 3CX [5]. Cette version, 18.12.425, ne comprend plus le cheval
de Troie. Néanmoins, l'éditeur ne recommande pas le déploiement de cette
nouvelle version et préconise plutôt l'utilisation de l'application web
PWA.
Pour plus d'informations, se référer au bulletin de sécurité de
l'éditeur pour l'obtention des correctifs (cf. section Documentation).