Dans le dernier épisode d’une attaque d’approvisionnement, un fabricant de logiciels au service de plus de 10 000 salles d’audience dans le monde entier a hébergé une mise à jour d’application contenant une porte dérobée cachée qui maintenait une communication persistante avec un site Web malveillant. Cette attaque soulève des questions sur la sécurité des systèmes judiciaires et met en évidence les vulnérabilités potentielles dans les chaînes d’approvisionnement logicielles.Le logiciel en question est le JAVS Viewer 8, un composant du JAVS Suite 8. Ce package d’application est utilisé par les tribunaux pour enregistrer, lire et gérer l’audio et la vidéo des procédures judiciaires. Le fabricant, Justice AV Solutions basé à Louisville, Kentucky, affirme que ses produits sont utilisés dans plus de 10 000 salles d’audience aux États-Unis et dans 11 autres pays. L’entreprise est en activité depuis 35 ans.
Des chercheurs de la société de sécurité Rapid7 ont signalé qu'une version de JAVS Viewer 8 disponible en téléchargement sur javs.com contenait une porte dérobée qui permettait à un cybercriminel d'avoir un accès permanent aux appareils infectés. Le téléchargement malveillant, placé dans un fichier exécutable qui installe la version 8.3.7 de JAVS Viewer, était disponible début avril, date à laquelle un message sur X (anciennement Twitter) l'a signalé. On ne sait pas exactement quand la version piratée a été retirée de la page de téléchargement de l'entreprise.
[TWITTER]<blockquote class="twitter-tweet"><p lang="en" dir="ltr">🚨Windows version of RustDoor alert!<br><br>📷The malware is being hosted on the official website of JAVS. The file is Viewer 8.3.7 Setup Executable - Version 8.3.7, and this file comes with a valid certificate. The Attacker has now developed a Windows version that merges with… <a href="https://t.co/Vi2sxZveGQ">https://t.co/Vi2sxZveGQ</a></p>— 𝓙𝓪𝓬𝓴2 (@2RunJack2) <a href="https://twitter.com/2RunJack2/status/1775052981966377148?ref_src=twsrc%5Etfw">April 2, 2024</a></blockquote> <script async src="https://platform.twitter.com/widgets.js" charset="utf-8"></script> [/TWITTER]
La porte dérobée
Justice AV Solutions (JAVS) est une société américaine spécialisée dans les solutions d'enregistrement audiovisuel numérique pour les salles d'audience. Selon le site web du vendeur, les technologies de JAVS sont utilisées dans les salles d'audience, les chambres et les salles de jury, les prisons et les établissements pénitentiaires, ainsi que dans les salles de conseil, d'audition et de conférence. Le site web de l'entreprise cite plus de 10 000 installations de ses technologies dans le monde entier.
JAVS Suite 8 est un portefeuille de logiciels d'enregistrement, de visualisation et de gestion audio/vidéo destinés aux organisations gouvernementales et aux entreprises. Le logiciel « JAVS Viewer » affecté est conçu pour ouvrir les médias et les fichiers journaux créés par d'autres logiciels de la suite JAVS. Il peut être téléchargé sur le site web du fournisseur et est livré sous la forme d'un programme d'installation Windows qui demande des privilèges élevés lors de l'exécution.
Rapid7 a déterminé que les utilisateurs ayant installé JAVS Viewer v8.3.7 courent un risque élevé et doivent prendre des mesures immédiates. Cette version contient un programme d'installation rétroactif qui permet aux pirates de prendre le contrôle total des systèmes concernés. Il est essentiel de réimager complètement les terminaux concernés et de réinitialiser les informations d'identification associées afin de s'assurer que les attaquants n'ont pas persisté par le biais de portes dérobées ou d'informations d'identification volées. Les utilisateurs doivent installer la dernière version de JAVS Viewer (8.3.8 ou supérieure) après avoir réimagé les systèmes concernés. Ces résultats ont été identifiés lors d'une enquête menée par les analystes de Rapid7.
Le vendredi 10 mai 2024, Rapid7 a ouvert une enquête sur un incident impliquant l'exécution d'un binaire nommé fffmpeg.exe à partir du chemin de fichier C:\NProgram Files (x86)\NJAVS\NViewer 8. L'enquête a permis de remonter jusqu'au téléchargement d'un binaire nommé JAVS Viewer Setup 8.3.7.250-1.exe qui a été téléchargé à partir du site officiel de JAVS le 5 mars. L'analyse du programme d'installation JAVS Viewer Setup 8.3.7.250-1.exe a montré qu'il portait une signature Authenticode inattendue et contenait le binaire fffmpeg.exe. Au cours de l'enquête, Rapid7 a observé que des scripts PowerShell codés étaient exécutés par le binaire fffmpeg.exe.
Sur la base de renseignements provenant de sources ouvertes, Rapid7 a déterminé que le binaire fffmpeg.exe est associé à la famille de logiciels malveillants GateDoor/Rustdoor...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.
