{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Application de bureau 3CX (application Electron pour macOS) versions 18.11.1213, 18.12.402, 18.12.407 et 18.12.416","product":{"name":"macOS","vendor":{"name":"Apple","scada":false}}},{"description":"Application de bureau 3CX (application Electron pour Windows) versions 18.12.407 et 18.12.416","product":{"name":"Windows","vendor":{"name":"Microsoft","scada":false}}}],"affected_systems_content":"","closed_at":"2023-04-12","content":"## Solution\n\n<span style=\"color: #ff0000;\">\\[Mise \u00e0 jour du 11 avril 2023\\] </span>Le\n31 mars, l'\u00e9diteur a publi\u00e9 une nouvelle version de son application de\nbureau 3CX \\[5\\]. Cette version, 18.12.425, ne comprend plus le cheval\nde Troie. N\u00e9anmoins, l'\u00e9diteur ne recommande pas le d\u00e9ploiement de cette\nnouvelle version et pr\u00e9conise plut\u00f4t l'utilisation de l'application web\n*PWA*.\n\nPour plus d'informations, se r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de\nl'\u00e9diteur pour l'obtention des correctifs (cf. section Documentation).\n","cves":[],"links":[{"title":"[3] Rapport SentinelOne","url":"https://www.sentinelone.com/blog/smoothoperator-ongoing-campaign-trojanizes-3cx-software-in-software-supply-chain-attack/"},{"title":"[5] Publication li\u00e9e \u00e0 la sortie de la version 18.12.425 de l'application de bureau 3CX","url":"https://www.3cx.com/blog/releases/v18u7-desktop-app-electron/"},{"title":"[2] Rapport CrowdStrike du 29 mars 2023","url":"https://www.crowdstrike.com/blog/crowdstrike-detects-and-prevents-active-intrusion-campaign-targeting-3cxdesktopapp-customers/"},{"title":"[1] Manuel d'utilisation 3CX Web Client (PWA)","url":"https://www.3cx.com/user-manual/web-client/"},{"title":"Avis ENISA EU","url":"https://github.com/enisaeu/CNW/blob/main/advisories/CVE-2023-XXXXX_3CX-DesktopApp.md"},{"title":"[4] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"}],"reference":"CERTFR-2023-ALE-003","revisions":[{"description":"Version initiale","revision_date":"2023-03-31T00:00:00.000000"},{"description":"Ajout concernant la nouvelle version d'application de bureau 3CX","revision_date":"2023-04-11T00:00:00.000000"},{"description":"Ajout du lien vers la version 18.12.425 de l'application de bureau 3CX","revision_date":"2023-04-12T00:00:00.000000"}],"risks":[{"description":"D\u00e9ploiement d'une charge utile malveillante sur le syst\u00e8me"}],"summary":"Le 30 mars 2023, l'\u00e9diteur a publi\u00e9 un communiqu\u00e9 concernant la\ncompromission de leur application de bureau 3CX (*3CX Desktop App*).\nCette application de conf\u00e9rence vocale et vid\u00e9o, dans certaines\nversions, est infect\u00e9e par un cheval de Troie qui rend possible le\nd\u00e9ploiement d'une charge utile \u00e0 des fins malveillantes.\n\nLe CERT-FR ne peut pas confirmer, \u00e0 ce stade, si d'autres versions que\ncelles mentionn\u00e9es dans la section *Syst\u00e8mes affect\u00e9s* sont compromises.\nIl est donc tr\u00e8s fortement recommand\u00e9, quelle que soit la version, de\nd\u00e9sinstaller l'application de bureau 3CX et de suivre la recommandation\nde l'\u00e9diteur consistant \u00e0 utiliser l'application web *PWA*. L'\u00e9diteur\npropose un manuel d'utilisation qui peut simplifier cette transition\n\\[1\\].\n\nPar ailleurs, <strong>il est aussi indispensable de proc\u00e9der \u00e0 une\nv\u00e9rification des postes qui disposaient de cette application</strong> afin de\ns'assurer qu'ils n'ont pas \u00e9t\u00e9 compromis. Pour cela, plusieurs rapports\nen source ouverte proposent des marqueurs de compromission \u00e0 v\u00e9rifier\n\\[2\\]\\[3\\]. En cas de suspicion de compromission, il est recommand\u00e9 de\ncontinuer les investigations (cf. *bons r\u00e9flexes en cas d'intrusion sur\nvotre syst\u00e8me d'information* \\[4\\]).\n","title":"[M\u00e0J] Compromission de l'application 3CX Desktop App","vendor_advisories":[{"published_at":"2023-03-30","title":"Alerte de s\u00e9curit\u00e9 de l'\u00e9diteur 3CX","url":"https://www.3cx.com/blog/news/desktopapp-security-alert/"}]}