JAVS
Un fabricant de logiciels desservant plus de 10 000 salles d’audience à travers le monde a hébergé une mise à jour d’application contenant une porte dérobée cachée qui maintenait une communication persistante avec un site Web malveillant, ont rapporté des chercheurs jeudi, dans le dernier épisode d’une attaque contre la chaîne d’approvisionnement.
Le logiciel, connu sous le nom de JAVS Viewer 8, est un composant de JAVS Suite 8, un package d’application que les salles d’audience utilisent pour enregistrer, lire et gérer l’audio et la vidéo des procédures. Son fabricant, Justice AV Solutions, basé à Louisville, Kentucky, affirme que ses produits sont utilisés dans plus de 10 000 salles d’audience aux États-Unis et dans 11 autres pays. L’entreprise est en activité depuis 35 ans.
Utilisateurs de JAVS Viewer à haut risque
Des chercheurs de la société de sécurité Rapid7 ont signalé qu’une version de JAVS Viewer 8 disponible en téléchargement sur javs.com contenait une porte dérobée qui donnait à un acteur malveillant inconnu un accès persistant aux appareils infectés. Le téléchargement malveillant, implanté dans un fichier exécutable qui installe JAVS Viewer version 8.3.7, était disponible au plus tard le 1er avril, lorsqu’un message sur X (anciennement Twitter) l’a signalé. On ne sait pas quand la version détournée a été supprimée de la page de téléchargement de l’entreprise. Les représentants de JAVS n’ont pas immédiatement répondu aux questions envoyées par e-mail.
« Les utilisateurs qui ont installé la version 8.3.7 de l’exécutable JAVS Viewer courent un risque élevé et doivent prendre des mesures immédiates », ont déclaré les chercheurs de Rapid7, Ipek Solak, Thomas Elkins, Evan McCann, Matthew Smith, Jake McMahon, Tyler McGraw, Ryan Emmons et Stephen Fewer. , et John Fenninger a écrit. « Cette version contient un programme d’installation dérobé qui permet aux attaquants de prendre le contrôle total des systèmes concernés. »
Le fichier d’installation était intitulé JAVS Viewer Setup 8.3.7.250-1.exe. Une fois exécuté, il a copié le fichier binaire fffmpeg.exe au chemin du fichier C:Program Files (x86)JAVSViewer 8. Pour contourner les avertissements de sécurité, le programme d’installation a été signé numériquement, mais avec une signature émise à une entité appelée « Vanguard Tech Limited » plutôt qu’à « Justice AV Solutions Inc. », l’entité signataire utilisée pour authentifier le logiciel JAVS légitime.
fffmpeg.exe, à son tour, a utilisé Windows Sockets et WinHTTP pour établir des communications avec un serveur de commande et de contrôle. Une fois connecté avec succès, fffmpeg.exe a envoyé les mots de passe du serveur collectés à partir des navigateurs et des données sur l’hôte compromis, notamment le nom d’hôte, les détails du système d’exploitation, l’architecture du processeur, le répertoire de travail du programme et le nom d’utilisateur.
Les chercheurs ont dit fffmpeg.exe j’ai également téléchargé le fichier chrome_installer.exe à partir de l’adresse IP 45.120.177.178. chrome_installer.exe a ensuite exécuté un binaire et plusieurs scripts Python chargés de voler les mots de passe enregistrés dans les navigateurs. fffmpeg.exe est associé à une famille de logiciels malveillants connue appelée GateDoor/Rustdoor. Le fichier exe a déjà été signalé par 30 moteurs de protection des points finaux.
Rapide7
Le nombre de détections était passé à 38 au moment de la mise en ligne de ce message.
Les chercheurs ont averti que le processus de désinfection des appareils infectés nécessiterait des précautions. Ils ont écrit:
Pour résoudre ce problème, les utilisateurs concernés doivent :
- Réimagez tous les points de terminaison sur lesquels JAVS Viewer 8.3.7 a été installé. La simple désinstallation du logiciel ne suffit pas, car les attaquants peuvent avoir implanté des portes dérobées ou des logiciels malveillants supplémentaires. La réimagerie fournit une table rase.
- Réinitialisez les informations d’identification de tous les comptes connectés aux points de terminaison concernés. Cela inclut les comptes locaux sur le point de terminaison lui-même ainsi que tous les comptes distants accessibles pendant la période d’installation de JAVS Viewer 8.3.7. Les attaquants peuvent avoir volé les informations d’identification des systèmes compromis.
- Réinitialisez les informations d’identification utilisées dans les navigateurs Web sur les points de terminaison concernés. Les sessions du navigateur peuvent avoir été détournées pour voler des cookies, des mots de passe stockés ou d’autres informations sensibles.
- Installez la dernière version de JAVS Viewer (8.3.8 ou version ultérieure) après avoir récréé l’image des systèmes concernés. La nouvelle version ne contient pas la porte dérobée présente dans la 8.3.7.
Il est essentiel de recréer complètement l’image des points finaux concernés et de réinitialiser les informations d’identification associées pour garantir que les attaquants n’ont pas persisté via des portes dérobées ou des informations d’identification volées. Toutes les organisations exécutant JAVS Viewer 8.3.7 doivent prendre ces mesures immédiatement pour remédier à la compromission.
Le message de Rapid7 comprenait une déclaration de JAVS confirmant que le programme d’installation de la version 8.3.7 de la visionneuse JAVS était malveillant.
« Nous avons extrait toutes les versions de Viewer 8.3.7 du site Web de JAVS, réinitialisé tous les mots de passe et mené un audit interne complet de tous les systèmes JAVS », indique le communiqué. « Nous avons confirmé que tous les fichiers actuellement disponibles sur le site Web JAVS.com sont authentiques et exempts de logiciels malveillants. Nous avons en outre vérifié qu’aucun code source, certificat, système ou autre version logicielle de JAVS n’a été compromis lors de cet incident.
La déclaration n’explique pas comment le programme d’installation est devenu disponible en téléchargement sur son site. Il n’a pas non plus précisé si l’entreprise avait retenu les services d’une société externe pour enquêter.
Cet incident est le dernier exemple d’attaque de chaîne d’approvisionnement, une technique qui altère un service ou un logiciel légitime dans le but d’infecter tous les utilisateurs en aval. Ce type d’attaques est généralement effectué en piratant d’abord le fournisseur du service ou du logiciel. Il n’existe aucun moyen sûr d’éviter d’être victime d’attaques de la chaîne d’approvisionnement, mais une mesure potentiellement utile consiste à vérifier un fichier à l’aide de VirusTotal avant de l’exécuter. Ce conseil aurait bien servi les utilisateurs de JAVS.