Remise en contexte: Les attaques de chaîne d’approvisionnement sont généralement conçues pour cibler une entreprise spécifique en infectant un seul élément impliqué dans la fabrication ou la distribution d’un produit logiciel. Une fois la chaîne d’approvisionnement compromise, tous les utilisateurs et clients en aval de l’entreprise concernée peuvent également être facilement ciblés.
Justice AV Solutions (JAVS) fournit des produits logiciels à plus de 10 000 salles d’audience aux États-Unis et dans le monde. L’entreprise de 35 ans a récemment été touchée par une dangereuse attaque contre la chaîne d’approvisionnement, au cours de laquelle des cybercriminels inconnus ont réussi à implanter leur propre porte dérobée dans un téléchargement de logiciel officiel prétendument légitime.
Comme l’a rapporté Rapid7, l’attaque de la chaîne d’approvisionnement a compromis le programme JAVS Viewer 8.3.7 inclus dans le produit JAVS Suite 8. JAVS Suite est un logiciel « centré sur une base de données » conçu pour créer, gérer et visualiser des enregistrements numériques de « réunions tests » dans les salles d’audience et les environnements professionnels. JAVS le décrit comme une suite de « gestion AV complète » fonctionnant sur les systèmes d’exploitation PC Windows 10 ou version ultérieure.
Dans le cadre de la suite JAVS principale, JAVS Viewer permet aux employés d’ouvrir et de gérer des journaux et des fichiers multimédias précédemment enregistrés. La version 8.3.7 de JAVS Viewer s’est avérée infectée par une porte dérobée et était apparemment hébergée sur les propres serveurs de JAVS, a confirmé Rapid7. Cela signifie que tous les clients utilisant cette version spécifique du logiciel doivent prendre des mesures d’atténuation sérieuses pour éviter de mauvaises surprises à l’avenir.
La porte dérobée a été signée numériquement pour éviter de déclencher les avertissements de sécurité initiaux, bien que l’entité signataire soit « Vanguard Tech Limited » et non « Justice AV Solutions Inc. » comme cela aurait dû être. Une fois installé, le JAVS Viewer compromis a été conçu pour se connecter à des serveurs de commande et de contrôle distants et attendre de nouvelles commandes. Le malware volerait alors des données sensibles, notamment les détails du nom d’hôte et du système d’exploitation, les mots de passe du navigateur, etc.
L’exécutable malveillant (fffmpeg.exe) est connu pour faire partie de la famille des logiciels malveillants GateDoor/Rustdoor et a déjà été signalé par de nombreux fournisseurs de sécurité et solutions audiovisuelles. JAVS a officiellement reconnu l’attaque de la chaîne d’approvisionnement sur son site Web, déclarant que l’incident (identifié comme CVE-2024-4978) était désormais résolu avec une nouvelle version du programme JAVS Viewer.
Selon les analystes de Rapid7, l’incident de porte dérobée JAVS pourrait avoir des conséquences durables, notamment des systèmes compromis, des mots de passe volés et un accès à distance non autorisé.
Tous les utilisateurs de JAVS Viewer 8.3.7 doivent recréer complètement l’image de tout système de point de terminaison sur lequel le programme est utilisé, car la simple désinstallation ou la mise à jour du logiciel ne suffit pas à éradiquer la menace. Les identifiants d’accès et les mots de passe des comptes système et des navigateurs Web doivent également être réinitialisés.
Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :
