3CX brengt nieuwe Electron-app voor desktop uit na eerdere supplychainaanval

VoIP-maker 3CX heeft een nieuwe versie van zijn desktopsoftware uitgebracht. Het is de eerste grote release van de tool sinds daar vorige maand een ernstige supplychainaanval mee uit te voeren bleek. De tool is door securitybedrijf Mandiant doorgelicht.

3CX schrijft in een blogpost dat het een nieuwe Electron-app heeft gemaakt die op de desktop geïnstalleerd kan worden. Die app heeft buildnummer 18.12.424, een andere naamstelling dan er eerder werd gebruikt. Dat heeft volgens 3CX te maken met nieuwe certificaten die moesten worden uitgegeven voor de tool.

Het bedrijf heeft wel de voorkeur dat klanten de progressive web app gebruiken in de browser. Dat heeft voordelen voor gebruikers, zegt 3CX, zoals dat er geen reden meer is om extra in te loggen, maar de veiligheid speelt ook een rol; de webapp heeft niet te maken met de veiligheidsproblemen die de eerdere app wel had.

3CX zegt dat de nieuwe Electron-app voor Windows en macOS beschikbaar is. Gebruikers doen er goed aan daarvoor de servers waarop de app draait, eerst bij te werken naar de nieuwe versie. Dat gebeurt voor Hosted- en StartUP-beheerders automatisch. Voor hen wordt de Electron-wrapper ook direct geïnstalleerd.

De nieuwe software is de eerste grote update van de tool sinds vorige week. Toen bleek dat aanvallers de desktopclient misbruikten om malware te verspreiden via een supplychainaanval. Dat gebeurde volgens het bedrijf via een library die met de tool werd meegeleverd, maar details zijn nog niet bekend. De malware maakte het mogelijk gesprekken en voicemailberichten af te luisteren. 3CX is een VoIP-leverancier met klanten zoals McDonald's en Coca-Cola, maar ook de Britse gezondheidssector.

Kort na de aanval raadde 3CX gebruikers al aan om vooral de webapp nog te gebruiken. De Electron-app is geverifieerd door beveiligingsbedrijf Mandiant. Dat zegt 'geen bewijs van infectie' te hebben gevonden.

Meerdere gebruikers schrijven op het forum van 3CX dat de tool geflagged wordt door hun virusscanner of door Chrome. Volgens 3CX gaat het om een valspositieve melding. "Sommige 3CX-domeinen zijn door Google geflagged vanwege de vorige versie van de desktopapp. We hebben contact met Google opgenomen om opnieuw naar die domeinen te kijken", schrijft het bedrijf.

Door Tijs Hofmans

Nieuwscoördinator

07-04-2023 • 14:51

13

Submitter: Anonymoussaurus

Reacties (13)

Sorteer op:

Weergave:

Dat gebeurde volgens het bedrijf via een library die met de tool werd meegeleverd, maar details zijn nog niet bekend.
Ehm, er zijn inmiddels meer dan genoeg details beschikbaar over deze aanval. Waaronder deze uitgebreide blogpost van Huntress die de gehele aanval uiteenzet.
Waarom de desktop client nog aanbieden als de PWA de voorkeur heeft voor 3CX, veiliger is en hetzelfde kan?
Wij zijn ook over naar de PWA. En eerlijk gezegd, vind ik hem fijner dan de Desktop Client (start sneller, schaalt beter en die stomme dialer blijft tenminste in het venster ipv ergens op de desktop).
ik vind het juist vervelend dat de PWA app niet gewoon in je system tray staat. ik hoef niet de hele tijd dat icoon op mijn taakbalk te hebben..
Veel mensen die de desktop app gewoon zijn, sluiten de PWA ook af, maar hierbij blijft die niet actief. Er is dus ook een serieuze overbruggingsperiode met risico op verloren oproepen.
Er zijn wat specifieke features enkel beschikbaar op de electron desktop app.
bv. Externe toepassingen starten bij ontvangst van een oproep of gelanceerd worden via het tel: protocol door externe toepassingen van derden.

Is BLF al beschikbaar in de dialer, want die was er alleszins ook nog niet, maar zouden ze wel snel gaan toevoegen.

[Reactie gewijzigd door SmokingCrop op 23 juli 2024 14:36]

Ja, Nick Galea heeft dit aangehaald in de forumpost die updates gaf over dit gebeuren. Plots zijn een aantal features er snel doorgeduwd. Dus elk nadeel heeft zijn voordeel.
De desktop client is een Electron app, dus het is gewoon de PWA maar dan in een (andere) wrapper.

Het voordeel hiervan is dat je wel native code kunt toevoegen aan je app, zoals een tray icon en bijv. media controls

[Reactie gewijzigd door Oon op 23 juli 2024 14:36]

Wat ik persoonlijk gruwelijk irritant vind, is dat de caller over je team-lijst heen valt. De app heeft deze losstaand, waardoor je sneller kan zien of iemand beschikbaar is.
De Legacy 16.x app is ook een optie.
Het belangrijkste voor mij is het ontbreken van sneltoetsen in de PWA app. Heel erg hatelijk voor mij.
Klopt, dat is voor mij ook het grootste punt.
Plus dat ik toch ook van mening blijf dat PWA-apps voorlopig voor een heel paar soorten toepassingen goed te gebruiken zijn.
En Electron vind ik ook verschrikkelijk trouwens.
Doe mij maar gewoon een echte applicatie en geen 'app'.
Het achterliggende idee is dat je voor elk platform dezelfde code kan gebruiken maar ik krijg weer helemaal het Java-gevoel van weleer.
Java-programma's draaiden ook op Windows, Mac, Linux, OS/2 en je Commodore 64, maar het was het ook overal nét niet. De UI was vaak gek / vreemd, de performance niet zo best... Ook toen waren er een paar (soorten) toepassingen waarvoor dit geen probleem was en je dit accepteerde, maar voor al het andere was een echte native applicatie toch het allerbeste.
Toen kwam Flash, die min of meer hetzelfde probeerde. Flash had grafisch en tekst, plugins voor alle browsers en platforms en was in potentie prima. Maar in het echt ook niet en daar zijn we ook fijn van af nu. Silverlight / ActiveX idem.
En nu proberen 'ze' (de browser-bouwers) ons weer te verleiden met PWA. Hou op :-)
Ik heb gewerkt met de 3CX app via mijn vorige werkgever. Huidige werkgever gebruikt Mitel MiCollab en dat werkt een stuk fijner en vooral stabieler. Mitel gaat ook proactief aan het werk met security updates en is ook 1 van de eerste UC vendoren die updates release bij issues mbt SSL libraries.
Waarom gebruiken ze niet React Native voor Desktop. Microsoft gebruikt het ook, het draait op UWP inplaats van Electron en dus veel veiliger en sneller. De meeste desktop apps hebben geen full system access nodig.

Op dit item kan niet meer gereageerd worden.