Mandiant 对 3CX V20 电话系统核心服务进行的安全评估
作为我们持续强化产品安全承诺的一部分,3CX 邀请了网络安全咨询领域的领导者 —— Mandiant(Google Cloud 旗下公司)对 3CX V20 电话系统进行全面、多阶段的安全评估。此次合作内容广泛:
- 持续时间:97 个工作日
- 人员:10 位顾问,包括 Mandiant FLARE 团队的逆向工程专家
- 经验:共计 78 年的专业网络安全经验
该项目包括完整的源代码访问、实际操作测试以及多轮复评,体现了我们在时间、专业知识和资源上的重大投入。以下是详细报告和评估结果。
关于 Mandiant 的评估
从 2023 年 11 月至 2024 年 9 月,Mandiant 对 3CX 生态系统中的主要组件进行了四次独立评估,采用静态分析与动态渗透测试相结合的方法,并直接验证了补丁效果。
评估组件如下:
渐进式 Web 应用(PWA)
- 测试时间:2023 年 11 月
- 平台:运行于 Debian 12 的 3CX V20
- 方法:静态与动态渗透测试
核心服务器端服务
- 测试时间:2023 年 12 月
- 包括:SIP 服务器、媒体服务器、WebRTC、隧道服务
- 复评时间:2024 年 4 月与 6 月,版本为 20.0.1.699 和 20.0.2.581
- 平台:Debian 12
会话边界控制器(SBC)
- 测试时间:2024 年 4 月
- 测试设备:
- Yealink SIP-T53W(固件 96.86.0.77)
- Yealink SIP-T46U(固件 108.86.0.77)
- Fanvil V64(固件 2.12.17)
- Windows 10 与 Raspberry Pi(Debian 10)
- 测试版本:18.1.36(初始)、18.1.80、20.0.100(复评)
Windows Softphone 桌面客户端
- 测试时间:2024 年 9 月
- 版本:20.0.580
- 安装包:
3CXSoftphone_GLOBAL_20.0.580.0_x64.msix3CXSoftphone_MS_20.0.580.0_x64.msix
关键发现与修复状态
在全部评估中,Mandiant 共识别出:
- 1 个关键漏洞
- 1 个高风险问题
这两个问题已由 3CX 完全修复,并在复评中获得 Mandiant 的独立验证。这些问题涉及产品第 18 和第 20 版之间共用的组件。
V20 安全是首要任务
与 Mandiant 的合作是一个有计划的、高投入的安全评估项目,旨在确保 V20 的架构安全。这进一步体现了我们在产品安全方面的持续改进和透明度承诺。
查看完整报告
完整的 Mandiant 报告可在 3CX 安全页面 下载查看。
关于 Mandiant
Mandiant 是网络防御、威胁情报与应急响应服务领域的权威,凭借数十年的实战经验,为组织提供对抗网络威胁的信心。Mandiant 隶属于 Google Cloud。
官网:https://www.mandiant.com/
版权所有 三思客软件(深圳)有限公司