Résumé

Le 30 mars 2023, l'éditeur a publié un communiqué concernant lacompromission de leur application de bureau 3CX (3CX Desktop App).Cette application de conférence vocale et vidéo, dans certainesversions, est infectée par un cheval de Troie qui rend possible ledéploiement d'une charge utile à des fins malveillantes.

Le CERT-FR ne peut pas confirmer, à ce stade, si d'autres versions quecelles mentionnées dans la section Systèmes affectés sont compromises.Il est donc très fortement recommandé, quelle que soit la version, dedésinstaller l'application de bureau 3CX et de suivre la recommandationde l'éditeur consistant à utiliser l'application web PWA. L'éditeurpropose un manuel d'utilisation qui peut simplifier cette transition[1].

Par ailleurs, il est aussi indispensable de procéder à unevérification des postes qui disposaient de cette application afin des'assurer qu'ils n'ont pas été compromis. Pour cela, plusieurs rapportsen source ouverte proposent des marqueurs de compromission à vérifier[2][3]. En cas de suspicion de compromission, il est recommandé decontinuer les investigations (cf. bons réflexes en cas d'intrusion survotre système d'information [4]).