« Des escrocs plantent une porte dérobée dans un logiciel utilisé par les tribunaux du monde entier. »

Un fabricant de logiciels desservant plus de 10 000 salles d’audience à travers le monde a hébergé une mise à jour d’application contenant une porte dérobée cachée qui maintenait une communication persistante avec un site Web malveillant, ont rapporté des chercheurs jeudi, lors du dernier épisode d’une attaque de la chaîne logistique. Le logiciel, connu sous le nom de JAVS Viewer 8, est un composant de la suite JAVS 8, un ensemble d’applications que les salles d’audience utilisent pour enregistrer, lire et gérer l’audio et la vidéo des procédures. Son fabricant, Justice AV Solutions basé à Louisville, Kentucky, affirme que ses produits sont utilisés dans plus de 10 000 salles d’audience à travers les États-Unis et 11 autres pays. La société est en activité depuis 35 ans. Des chercheurs de la société de sécurité Rapid7 ont signalé qu’une version du JAVS Viewer 8 disponible en téléchargement sur javs.com contenait une porte dérobée qui donnait à un acteur de menace inconnu un accès persistant aux appareils infectés. Le téléchargement malveillant, inséré dans un fichier exécutable qui installe la version 8.3.7 du JAVS Viewer, a été disponible au plus tard le 1er avril, date à laquelle un message sur X (anciennement Twitter) l’a signalé. Il n’est pas clair quand la version avec porte dérobée a été retirée de la page de téléchargement de la société. Les représentants de JAVS n’ont pas répondu immédiatement aux questions envoyées par courriel. « Les utilisateurs qui ont la version 8.3.7 de l’exécutable JAVS Viewer installée encourent un risque élevé et devraient agir immédiatement », ont écrit les chercheurs de Rapid7 Ipek Solak, Thomas Elkins, Evan McCann, Matthew Smith, Jake McMahon, Tyler McGraw, Ryan Emmons, Stephen Fewer et John Fenninger. « Cette version contient un installateur avec porte dérobée qui permet aux attaquants de prendre le contrôle total des systèmes affectés. » Le fichier d’installation était intitulé JAVS Viewer Setup 8.3.7.250-1.exe. Lors de son exécution, il a copié le fichier binaire fffmpeg.exe dans le chemin d’accès C:\Program Files (x86)\JAVS\Viewer 8\. Pour contourner les avertissements de sécurité, l’installateur était signé numériquement, mais avec une signature émise à une entité appelée « Vanguard Tech Limited » au lieu de « Justice AV Solutions Inc. », l’entité de signature utilisée pour authentifier les logiciels légitimes de JAVS.

Share the Post: