Logiciel d’enregistrement de salle d’audience compromis par un programme d’installation de porte dérobée

Une marque populaire de logiciels d’enregistrement largement utilisée dans les salles d’audience, les prisons et les prisons a été compromise par des pirates informatiques, leur permettant de prendre le contrôle total d’un système via une porte dérobée implantée dans une mise à jour de l’outil.

Justice AV Solutions (JAVS) est utilisée pour enregistrer des événements tels que des conférences, des audiences judiciaires et des réunions de conseil, avec plus de 10 000 installations de leurs technologies dans le monde. Il peut être téléchargé via le site Web du fournisseur et est livré sous forme de package d’installation basé sur Windows.

Mais cette semaine, la société a déclaré avoir identifié un problème de sécurité avec une version précédente de son logiciel JAVS Viewer.

Grâce à une surveillance continue et à une collaboration avec les cyber-autorités, nous avons identifié des tentatives visant à remplacer notre logiciel Viewer 8.3.7 par un fichier compromis, a déclaré jeudi la société dans un communiqué.

Nous avons extrait toutes les versions de Viewer 8.3.7 du site Web JAVS, réinitialisé tous les mots de passe et effectué un audit interne complet de tous les systèmes JAVS. Nous avons confirmé que tous les fichiers actuellement disponibles sur le site Web JAVS.com sont authentiques et exempts de logiciels malveillants. Nous avons en outre vérifié qu’aucun code source, certificat, système ou autre version logicielle de JAVS n’avait été compromis lors de cet incident.

Le fichier malveillant contenant le logiciel malveillant ne provenait pas de JAVS ou de tout tiers associé à JAVS et la société a exhorté les utilisateurs à vérifier que l’entreprise a signé numériquement tout logiciel qu’ils installent.

La société de cybersécurité Rapid7 a publié jeudi une analyse du problème, révélant que le logiciel corrompu JAVS Viewer qui ouvre les fichiers multimédias et enregistre les fichiers de la suite dispose d’un programme d’installation de porte dérobée qui donne aux attaquants un accès complet au système affecté.

Le malware transmet des données sur le système hôte à un serveur de commande et de contrôle (C2) appartenant aux acteurs malveillants. Rapid7 a suivi le problème sous le numéro CVE-2024-4978 et a déclaré avoir travaillé avec l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) pour coordonner la divulgation du problème.

Rapid7 a déclaré que les versions malveillantes du logiciel étaient signées par Vanguard Tech Limited, qui serait basée à Londres.

Dans son avis, Rapid7 a souligné la nécessité de réimager tous les points de terminaison sur lesquels le logiciel a été installé, et de réinitialiser les informations d’identification sur les navigateurs Web et pour tous les comptes connectés aux points de terminaison concernés, à la fois locaux et distants.

La simple désinstallation du logiciel ne suffit pas, car les attaquants peuvent avoir implanté des portes dérobées ou des logiciels malveillants supplémentaires. La réimagerie fournit une table rase, ont-ils écrit.

Il est essentiel de recréer complètement l’image des points finaux concernés et de réinitialiser les informations d’identification associées pour garantir que les attaquants n’ont pas persisté via des portes dérobées ou des informations d’identification volées.

Le problème a été signalé pour la première fois sur X (anciennement Twitter) en avril par un chercheur en renseignement sur les menaces, qui affirmait que des logiciels malveillants étaient hébergés sur le site officiel de JAVS.

Le 10 mai, Rapid7 a répondu à une alerte sur le système d’un client et a retracé une infection jusqu’à un programme d’installation téléchargé depuis le site Web de JAVS. Le fichier malveillant téléchargé par la victime ne semblait plus disponible sur le site Web et on ne sait pas clairement qui l’a supprimé de la page.

Quelques jours plus tard, les chercheurs ont découvert un autre fichier d’installation contenant des logiciels malveillants sur le site Web de JAVS.

Cela confirme que le site du fournisseur était la source de l’infection initiale, ont-ils écrit. JAVS n’a pas répondu aux demandes de commentaires sur l’écart entre ses résultats et l’analyse de Rapid7.

Les mises à jour logicielles sont devenues un point central de la cybersécurité, car les utilisateurs finaux ont tendance à cliquer aveuglément sur la mise à jour lorsqu’ils y sont invités, ou à les activer automatiquement.

Plusieurs entreprises, notamment SolarWinds et 3CX, ont fait face à des attaques d’États-nations qui exploitaient le processus de mise à jour pour installer subrepticement des logiciels malveillants.

Apprendre encore plus.