Hallo Michael Kleeberg,
gestern haben wir unsere Partner und Kunden darüber informiert, dass unsere in Update 7 ausgelieferte Electron Windows App mit den Versionsnummern 18.12.407 und 18.12.416 ein schwerwiegendes Sicherheitsproblem aufweist. Wir haben seitdem in Erfahrung gebracht, dass auch die Versionsnummern 18.11.1213, 18.12.402, 18.12.407 und 18.12.416 der Electron Mac App betroffen sind. Glücklicherweise haben Antivirensoftware-Anbieter die ausführbare 3CXDesktopApp.exe markiert und blockiert.
Als Reaktion auf diesen Vorfall hat 3CX Mandiant, ein renommiertes amerikanisches Cybersicherheitsunternehmen und Tochterunternehmen von Google damit beauftragt, diesen Vorfall vollständig zu untersuchen. Während die Untersuchung im Gange ist, bitten wir Sie, die nachstehenden Anweisungen unverzüglich zu befolgen.
Kein Handlungsbedarf für Kunden auf 3CX Hosted / StartUP
Nutzer von 3CX Hosted und StartUP müssen ihre Server nicht aktualisieren, da wir diese über Nacht automatisch updaten. Die Server werden neu gestartet und die neue Electron App MSI/DMG auf dem Server installiert. Wir empfehlen, die Electron App NICHT zu installieren oder einzurichten. Das Update soll lediglich sicherstellen, dass der Trojaner vom 3CX-Server entfernt wurde, auf dem Desktop Apps gespeichert sind, und für den Fall dienen, dass Benutzer die App trotzdem einrichten. Während des Neustarts kann es einige Minuten lang zu Unterbrechungen kommen, während wir Ihren Server neu starten.
Selbst gehostet und lokale Installation erfordern Update-Installation
Führen Sie für selbst gehostete und lokale Installationen die folgenden Schritte aus:
Deinstallieren Sie die Electron App
Befolgen Sie diese Schritte, um die Electron App für Mac oder Windows zu deinstallieren.
Für Windows:
Für Mac:
Verwenden Sie PWA anstelle der Electron App – So geht’s
PWA funktioniert nur auf Google Chrome und Microsoft Edge – nicht auf Safari oder Firefox!
Weitere Informationen finden Sie im Benutzerhandbuch des Webclients.
Binnen ein oder zwei Tagen werden wir von Grund auf eine weitere Electron App mit einem neuen signierten Zertifikat erstellen, welche komplett sicher ist. Wir empfehlen dringend, die aktuelle Electron App nicht zu verwenden, es sei denn, es gibt absolut keine Alternative. Das Update der Electron App, welches wir gestern veröffentlicht haben, gilt als sicher, aber in Anbetracht des engen Zeitraums von 24 Stunden für die notwendigen Anpassungen, gibt es hierfür keine Garantie.
Wir arbeiten immer noch daran, das volle Ausmaß des Angriffs zu erfassen, doch wir versprechen volle Transparenz, sobald uns das gelingt. Wir wollen nichts überstürzen und falsche Annahmen treffen. Bitte folgen Sie daher unserem Forum und Blog sowie unseren Kanälen auf LinkedIn, Twitter, Facebook und Instagram, über welche wir unsere Kunden und Partner weiterhin auf dem Laufenden halten.
Wir entschuldigen uns weiterhin aufrichtig bei allen unseren Partnern und Kunden weltweit. Das gesamte 3CX-Team arbeitet weiterhin rund um die Uhr.
Mit bestem Gruß
Ihr 3CX Team