Bağlamda: Tedarik zinciri saldırıları genellikle bir yazılım ürününün üretiminde veya dağıtımında yer alan tek bir öğeye virüs bulaştırarak belirli bir şirketi hedef almak üzere tasarlanmıştır. Tedarik zinciri tehlikeye girdiğinde, etkilenen şirketin tüm alt kullanıcıları ve müşterileri de kolayca hedef alınabilir.
Justice AV Solutions (JAVS), ABD’de ve dünya çapında 10.000’den fazla mahkeme salonuna yazılım ürünleri sunmaktadır. 35 yıllık şirket yakın zamanda, bilinmeyen siber suçluların sözde meşru, resmi bir yazılım indirmesine kendi arka kapılarını yerleştirebildiği tehlikeli bir tedarik zinciri saldırısından etkilendi.
Rapid7 tarafından bildirildiği üzere tedarik zinciri saldırısı, JAVS Suite 8 ürününde bulunan JAVS Viewer 8.3.7 programını tehlikeye attı. JAVS Suite, mahkeme salonları ve iş ortamlarındaki “kritik toplantıların” dijital kayıtlarını oluşturmak, yönetmek ve görüntülemek için tasarlanmış “veritabanı merkezli” bir yazılımdır. JAVS, bunu Windows 10 veya sonraki PC işletim sistemlerinde çalışan “tam bir AV yönetimi” paketi olarak tanımlıyor.
Ana JAVS Suite’in bir parçası olan JAVS Viewer, çalışanların önceden kaydedilmiş günlükleri ve medya dosyalarını açmasına ve yönetmesine olanak tanır. Rapid7, JAVS Viewer’ın 8.3.7 sürümünün bir arka kapıdan etkilendiğini ve görünüşe göre JAVS’in kendi sunucularında barındırıldığını doğruladı. Bu, yazılımın belirli bir sürümünü kullanan tüm müşterilerin, gelecekte hoş olmayan sürprizlerden kaçınmak için ciddi hafifletici önlemler alması gerektiği anlamına gelir.
İmzalayan kuruluş “Justice AV Solutions Inc.” değil “Vanguard Tech Limited” olmasına rağmen, ilk güvenlik uyarılarının tetiklenmesini önlemek için arka kapı dijital olarak imzalandı. olması gerektiği gibi. Evvel kurulduğunda, ele geçirilen JAVS Görüntüleyici uzak komuta ve kontrol sunucularına bağlanacak ve sonraki emirleri bekleyecek şekilde tasarlandı. Kötü amaçlı yazılım daha sonra ana bilgisayar adı ve işletim sistemi ayrıntıları, tarayıcı şifreleri ve daha fazlasını içeren hassas verileri çalacaktır.
Kötü amaçlı yürütülebilir dosyanın (fffmpeg.exe) GateDoor/Rustdoor kötü amaçlı yazılım ailesinin bir parçası olduğu biliniyor ve birçok güvenlik satıcısı ve AV çözümü tarafından zaten işaretlendi. JAVS, tedarik zinciri saldırısını web sitesinde resmi olarak kabul etti ve olayın (CVE-2024-4978 olarak izlenen) artık JAVS Viewer programının yeni bir sürümüyle çözüldüğünü belirtti.
Rapid7 analistlerine göre JAVS arka kapı olayı, güvenliği ihlal edilmiş sistemler, çalınan şifreler ve yetkisiz uzaktan erişim gibi kalıcı sonuçlara yol açabilir.
Yalnızca yazılımı kaldırmak veya güncellemek tehdidi ortadan kaldırmak için yeterli olmadığından, tüm JAVS Viewer 8.3.7 kullanıcılarının programın kullanıldığı herhangi bir uç nokta sistemini tamamen yeniden görüntülemesi gerekir. Sistem hesapları ve web tarayıcıları için erişim kimlik bilgileri ve parolaları da sıfırlanmalıdır.