Supplychain-aanval 3CX: onderneem actie!

Z-CERT heeft geconstateerd dat 3CX een softwarepakket is dat breed gebruikt wordt in de zorgsector. Het product is ook populair bij kleinere zorgorganisaties als huisartspraktijken en fysiotherapiepraktijken. Omdat we nog geen volledig beeld hebben van de impact van dit incident in Nederland, is het van groot belang om signalen en vermoedens van misbruik te delen met Z-CERT en het NCSC.

Voor handelingsperspectief verwijzen we u naar de website van het NCSC. De maatregelen zijn als volgt:

1. 3CX adviseert het softwareprogramma volledig te verwijderen indien update 7 op het systeem aanwezig is. Wanneer 3CX noodzakelijk is voor een vitaal proces binnen uw organisatie raden zij aan de webapplicatie te gebruiken.
2. Het NCSC adviseert organisaties die gebruik maken van 3CX dringend dit advies op te volgen en na het verwijderen van de besmette update grondig onderzoek te doen binnen hun systemen. Onder dit bericht zijn diverse bronnen te vinden met tools, YARA- en Sigmaregels en indicatoren die voor dergelijk onderzoek gebruikt kunnen worden.
3. Het NCSC adviseert ook partijen die nog gebruikmaken van een oude versie (update < 7) expliciet ook onderzoek te doen naar mogelijke compromittatie van hun systemen en waakzaam te zijn op signalen van mogelijk misbruik.

De malware is met update 7 geïntroduceerd en wordt uitgevoerd wanneer de Desktop App wordt opgestart. De versies van de software die de malware bevatten zijn:

• Windows versies: 18.12.407 en 18.12.416
• MacOS versies: 18.11.1213, 18.12.402, 18.12.407 en 18.12.416.

Voor praktische informatie en handelingsperspectief verwijzen wij u naar de website van NCSC.

Voor meer informatie over het de-installeren van de software verwijzen wij u door naar de website van 3CX.