Hackern ist es gelungen, den Windows- und Mac-Clienten der Voice-over-IP-Software (VoIP) des Unternehmens 3CX mit einem Trojaner zu versehen. Die Software wird von mehr als 600.000 Unternehmen genutzt, die nun handeln sollten.

Von dem Vorfall berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Erst kamen die Informationen von verschiedenen Quellen, später wurden sie von 3CX bestätigt.

Das BSI stuft die Risikostufe des Trojaners als Orange ein. Das ist eine 3 von 4 auf der Skala der Gefahrenstufen und bedeutet: „Die IT-Bedrohungslage ist geschäftskritisch. Massive Beeinträchtigung des Regelbetriebs.“

Das BSI merkte an, dass letzte Woche noch kein Patch zur Verfügung stand, der die Sicherheitslücke für die Desktop-Clients schließt. Betroffen sind für Windows die Versionen 18.12.407 und 18.12.416. Für Mac sind es die Versionen 18.11.1213, 18.12.402, 18.12.407 und 18.12.416.

Das letzte Update zu der Sicherheitslücke auf dem Blog von 3CX stammt vom 1. April. Das Unternehmen rät dazu, die Desktop-Software von 3CX von allen Windows- und Mac-Geräten zu entfernen und stattdessen die PWA-Webclient-App zu nutzen.

Dem BSI zufolge hat sich eine manipulierte DLL-Datei in die betroffenen Clienten eingeschleust. Dieser baut nach der Installation eine Verbindung zu einem Command-and-Control-Server (C&C-Server) auf, der weitere Schadsoftware auf das betroffene Gerät laden kann.

So wird es den Hackern ermöglicht, dass sie weitere Befehle auf den infizierten Geräten ausführen können. Laut eines weiteren Blogposts von 3CX handelt es sich bei der Attacke um einen gezielten Angriff auf einige wenige Unternehmen. Der Softwareentwickler mutmaßt, dass es sich um staatlich gesponserte Hacker handeln könnte.

Die meisten Systeme wurden nie infiziert, obwohl die benötigten Dateien dafür mit der 3CX-Software installiert wurden.