ShadowPad : une backdoor dans une solution de gestion de serveurs

Le par  |  0 commentaire(s)
porte

Une attaque a permis d'insérer une backdoor dans une solution populaire pour la gestion de serveurs. À l'insu de l'éditeur légitime.

Les chercheurs en sécurité de Kaspersky Lab indiquent avoir découvert une backdoor implantée dans un logiciel de gestion de serveurs utilisés par des centaines de grandes entreprises dans le monde et actives dans l'énergie, les transports, la fabrication, l'éducation, les services financiers ou encore les télécoms.

En l'occurrence, le problème a été résolu par NetSarang le 5 août via la correction d'une vulnérabilité qui affectait Xmanager Enterprise 5.0 Build 1232, Xmanager 5.0 Build 1045, Xshell 5.0 Build 1322, Xftp 5.0 Build 1218 et Xlpd 5.0 Build 1220. Des builds publiées le 18 juillet 2017.

NetSarang a travaillé avec Kaspersky Lab afin d'évaluer la teneur de l'exploit qui aurait été introduit à la suite d'une infiltration d'attaquants dans le mécanisme de mise à jour. L'éditeur russe de solutions de sécurité parle d'une " attaque contre la chaîne logistique. "

En tout, la backdoor baptisée ShadowPad a subsisté au moins deux semaines jusqu'à sa découverte. Un fragment de code a été ajouté à la bibliothèque logicielle nssock2.dll dans des produits de NetSarang. Ce code a recueilli des informations qualifiées de basiques jusqu'à ce qu'un attaquant l'active par le biais d'un premier niveau de serveur de commande et contrôle.

" Si les cybercriminels considèrent que le système est intéressant, le serveur de commande répond et active une plateforme complète de backdoor qui se déploie silencieusement sur l'ordinateur ciblé. Ensuite, sur commande des attaquants, la plateforme de backdoor peut télécharger et exécuter du code malveillant ", écrit Kaspersky Lab.

Outre cette exécution de code arbitraire, il est également évoqué le maintien d'un système de fichiers virtuel dans le registre. Ce dernier et d'autres fichiers sont chiffrés et stockés dans un emplacement unique pour chaque victime. L'accès à distance comprend un algorithme de génération de noms de domaine pour les serveurs de contrôle et commande, avec des changements tous les mois.

Les attaquants avaient déjà enregistré des domaines pour couvrir la période allant de juillet à décembre 2017. Au regard de certaines techniques déjà employées par le passé, Kaspersky Lab évoque du bout des lèvres des acteurs parlant... chinois.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]