Sicherheitslücke in der 3CX-Desktop-App
Aktuelle Informationen für computerbauer-Kunden
Am 30.03.2023 haben wir Informationen erhalten, dass in der 3CX-Desktop-App für Windows eine schwere Sicherheitslücke besteht. Die ersten wichtigen Informationen haben wir unseren davon betroffenen Kunden unmittelbar per E-Mail zur Verfügung gestellt. Hier erhalten Sie laufend aktualisierte Informationen zu dem Vorfall und zu Handlungsempfehlungen.
Bei Fragen und wenn Sie Unterstützung bei der Installation von Client-Software sowie der Konfiguration der 3CX-Anlage benötigen, stehen wir Ihnen gerne unter support@computer-bauer.de zur Verfügung.
02.05.2023
3CX-Lizenzen kostenfrei um drei Monate verlängert
Nach dem Auftreten einer gravierenden Schwachstelle in der auch als Desktop-App bezeichneten Electron App hat Hersteller 3CX wie angekündigt eine Entschädigung für betroffene Kunden bereitgestellt. Diese Maßnahme soll Wertschätzung für die Loyalität der betroffenen Kunden demonstrieren, so 3CX in einer Mitteilung.
Das Ablaufdatum der kostenpflichtigen 3CX-Lizenzen wurde um drei Monate verlängert. Das bedeutet für Sie als Kunde, dass Ihr laufendes Jahresabonnement 15 Monate gilt. Erst nach diesem Zeitraum steht eine kostenpflichtige Verlängerung an.
Bitte wenden Sie sich unter support@computer-bauer.de an uns, wenn Sie Fragen zur neuen Lizenzierung von 3CX haben.
11.04.2023
Neue 3CX-Electron-App verfügbar - Nutzung weiter nicht empfohlen
Nach dem Auftreten einer gravierenden Schwachstelle in der auch als Desktop-App bezeichneten Electron App hat Hersteller 3CX nun eine neue Version für Windows und MAC bereitgestellt. Diese trägt die Nummer 18.12.425.
Die von 3CX beauftragten IT-Sicherheitsexperten von Mandiant haben die neue Version geprüft und keine Sicherheitslücken festgestellt. Dennoch rät 3CX weiterhin, zunächst den Web- oder PWA-Client sowie den wieder unterstützten alten Legacy-Client mit Versionsnummer 16.x zu nutzen. Bitte beachten Sie, dass bei Nutzung dieses Legacy-Clients der Menüpunkt "Weiterleitungen" in der 3CX-Anlage gesperrt werden sollte, da es andernfalls zu unerwünschten Weiterleitung kommen kann.
Bitte wenden Sie sich unter support@computer-bauer.de an uns, wenn Sie Fragen zur neuen Electron-App und der 3CX-Anlage haben.
04.04.2023
3CX verlängert Support für "alten" Client
Der eigentlich bereits abgekündigte alte 3CX-Client mit Versionsnummer 16.x erhält eine Verlängerung des Supportzeitraums. Der Hersteller unterstützt diese Version länger als geplant, um Anwendern eine Alternative zur von der Schwachstelle betroffenen Desktop-App zu bieten. Die Information von 3CX lesen Sie hier im Original.
Bislang hatte 3CX nur den Web-Client und die PWA-App als Alternative zur Desktop-App empfohlen. Diese stellen jedoch nur einen reduzierten Funktionsumfang zur Verfügung. Diese Lücke soll der "alte" sogenannte Legacy-Client nun füllen, der nun wieder hier heruntergeladen werden kann.
Bitte beachten Sie:
Im Legacy-Client treten in Kombination mit dem aktuellen 3CX-Server Probleme im Zusammenhang mit Weiterleitungsregeln auf. Wenn das manuelle Bearbeiten von Weiterleitungsregeln erlaubt ist, überschreibt der Client konfigurierte Weiterleitungen mit unerwünschten Regeln, sobald ein Benutzer manuell seinen Status ändert oder eine Weiterleitung setzt. Über dieses Verhalten hatten wir unsere 3CX-Kunden bereits vor einigen Wochen informiert. Wir empfehlen daher, den Menüpunkt „Weiterleitungsregeln“ in der 3CX-Anlage für alle Benutzer zu sperren.
Damit im alten Client die Wahl von Nummern möglich ist, die ein "+"-Zeichen enthalten, z.B. +49, muss unter Konto\Erweitert die Einstellung "Pluszeichen ersetzen durch 00" aktiviert werden.
03.04.2023
3CX-Desktop-App weiterhin nicht verwenden
Nach dem Bekanntwerden der gravierenden Sicherheitslücke in der 3CX-Desktop-App rät 3CX weiter von der Nutzung ab. Anwender sollen statt der auch als "Electron-App" bezeichneten Anwendung über den Webclient oder die PWA-App auf die 3CX-Telefonanlage zugreifen, heißt es in einer Stellungnahme von 3CX. Zunächst hatte 3CX angekündigt, binnen weniger Tage eine neue, sichere Version der Desktop-App bereitzustellen. Die Stellungnahme von 3CX können Sie hier nachlesen.
3CX rät weiterhin dringend, die Desktop-App zu deinstallieren und das eigene Netzwerk und die damit verbundenen Geräte auf Malware zu prüfen, sofern die Desktop-App installiert war. Eine Anleitung zum Entfernen der Desktop-App stellt 3CX online bereit.
computerbauer kann als Ersatz für die Desktop-App weiterhin den Web-Client empfehlen. Seit dem Wochenende testen wir auch die PWA-App und konnten bislang keine Schwierigkeiten feststellen. Aufgrund des kurzen Zeitraums können wir jedoch noch keine abschließende, generelle Empfehlung aussprechen. Auf ASP-Ebene muss aufgrund der DATEV-Unterstützung weiterhin der alte 3CX-Client mit Versionsnummer 16.x verwendet werden.
31.03.2023
Update zur schweren Sicherheitslücke in der 3CX-Desktop-App
3CX hat ein Update für die Desktopp-App und für den 3CX-Server bereitgestellt. Mehr Infos erhalten Sie bei 3CX unter https://www.3cx.de/blog/desktopapp-sicherheitswarnung-updates/.
Der Hersteller rät weiterhin von der Nutzung der Desktop-App ab – auch nachdem das Update installiert wurde. In wenigen Tagen soll eine komplett erneuerte, sichere Version der Desktop-App zur Verfügung stehen.
Um schnellstmöglich einen sicheren Zustand der von uns betreuten Anlagen wiederherzustellen, haben wir in der Nacht das Update auf den Servern eingespielt.
Auf Geräten, auf denen die 3CX-Desktop-App noch auf lokaler Ebene installiert ist, wird Nutzern aufgrund des von uns durchgeführten Server-Updates eine Aktualisierung angeboten. Bitte installieren Sie diese unbedingt oder deinstallieren Sie die 3CX-Desktop-App komplett. Sollten Sie aufgrund der am gestrigen Tag verbreiteten Warnung die 3CX-Desktop-App bereits entfernt haben, müssen Sie nichts unternehmen.
Auf ASP-Ebene ist statt der 3CX-Desktop-App noch der alte 3CX-Client mit Versionsnummer 16.x im Einsatz, der von der Sicherheitslücke nicht betroffen ist.
Wir empfehlen vorerst den 3CX-Webclient im Web-Browser zu verwenden. Die Zugangsdaten und den Link zum 3CX-Webclient finden Sie in der Begrüßungsmail, die jeder 3CX-Benutzer erhalten hat.
Als Alternative zum Webclient steht der sogenannte „PWA-Client“ zur Verfügung (siehe https://www.3cx.de/blog/webclient-pwa/). Diesen konnten wir jedoch bislang nicht ausreichend in verschiedenen Einsatzszenarien testen, um eine Empfehlung zur Verwendung aussprechen zu können.
30.03.2023
Schwere Sicherheitslücke in der 3CX-Desktop-App
Wie jetzt bekannt wurde, besteht eine schwere Sicherheitslücke in den 3CX-Desktop-Apps für Windows mit den Versionsnummern 18.12.407 und 18.12.416. Ebenfalls sind die Versionen 18.11.1213, 18.12.407 und 18.12.416 für den MAC betroffen. Diese enthalten in einer der Programmbibliotheken Schadcode.
Hier lesen Sie eine Stellungnahme des Herstellers: https://www.3cx.com/blog/news/desktopapp-security-alert/
Wir empfehlen dringend, die 3CX-Desktop-App vorerst nicht mehr zu verwenden und diese zu deinstallieren. Eine aktualisierte Version der Desktop-App soll laut 3CX voraussichtlich binnen 24 Stunden bereitgestellt werden. 3CX-Anwender unter unseren Kunden haben wir bereits per E-Mail benachrichtigt.
Bitte greifen Sie vorübergehend auf den 3CX-Webclient oder temporär auf den alten 3CX-Client mit Versionsnummer 16.x zurück, bis der neue Client zur Verfügung steht. Sie können die Versionsnummer Ihrer 3CX-Desktop-App prüfen, in dem Sie in den Windows-Einstellungen den Menüpunkt „Apps“ aufrufen. Hier wird die Versionsnummer angezeigt.
Die Zugangsdaten und den Link zum 3CX-Webclient sowie eine Downloadmöglichkeit für den alten Client („old legacy Client“) finden Sie in der Begrüßungsmail als 3CX-Benutzer, die jeder Benutzer erhalten hat. Alternativ klicken Sie in der ASP-Ebene im alten 3CX-Client auf die drei Punkte und wählen im Menü „Konfiguration anfordern“. Sie erhalten eine E-Mail mit den benötigten Informationen.