Une back door nommée « ShadowPad » découverte dans un logiciel qui est présent chez les grands groupes :

Vous êtes dans le secteur bancaire? dans celui de l’énergie? dans celui des média? dans celui des transports? Vous êtes un acteur important du marché avec une présence très souvent planétaire? Vous utilisez les solution NetSarang? Vous n’utilisez pas i-Guard?

Vous allez être hacké si ce n’est pas déjà fait et si vous ne mettez pas à jour ces versions :

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xshell 5.0 Build 1322

Xftp 5.0 Build 1218

Xlpd 5.0 Build 1220

Des hackers on compromis le mode de distribution de mises à jour de NetSarang et ont glissé une back door dans ce fichier : nssock2.dll. Ce hack est tellement parfait que les mises à jour diffusées l’ont été avec la signature numérique de l’éditeur : c’est donc lui qui a été compromis à la source!

Cette back door qui n’aura été découverte que 17 jours après (cela laisse rêveur quand à l’étendue des dégâts) permet aux hackers de prendre le contrôle total du réseau.

Toujours plus inventifs, les hackers avaient cette fois décidé de cibler un logiciel qui équipe de grand et fortunés groupes. Mais heureusement : les équipes techniques de l’éditeur NetSarang ont été réactive et ont publié un correctif dès qu’ils ont été averti de la menace, reste à espérer que les client sont aussi réactif ou bien protégés sur chaque endpoint par une solution EDR… mais à part ce hack : a qui le tour ? Quelle seront les prochaines cible de ces pirates toujours plus imaginatifs et pointu dans la recherche de cibles juteuses.

Concernant cette attaque, il n’y a pas eu de plaintes et à la vue des cibles, la discrétion doit forcément rester de mise, mais ne serait-il pas préférable de s’équiper de solutions préventives de cyber défense comme i-Guard?

Pour mémoire, les antivirus sont aussi ciblés par ce type d’exploit : nous en avions fait un article disponible ici