Numéro : AL17-009
Date : Le 24 janvier 2017
Objet
La présente alerte a pour but d’attirer l’attention sur une récente mise à jour de logiciel compromis publié par NetSarang.
Évaluation
Le CCRIC a reçu un rapport qu’un développeur de logiciel (NetSarang) a été compromis, ce qui a permis aux acteurs malveillants d’inclure une porte dérobée (Trojan ShadowPad) dans certains de leurs logiciels.
Les logiciels compromis ont été distribués par NetSarang via leur site web et l’utilité de mise à jour automatique du 18 juillet au 4 août 2017.
Les noms des logiciels compromis sont les suivants et leur date de compilation est le 17 juillet 2017.
- Xmanager Enterprise 5 Build 1232
- Xmanager 5 Build 1045
- Xshell 5 Build 1322
- Xftp 5 Build 1218
- Xlpd 5 Build 1220
Mesures Recommandées
Le CCRIC recommande que les administrateurs testent les mises à jour du fournisseur et qu’ils les appliquent aux applications touchées.
Le CCRIC recommande aux organisations de prendre connaissance des mesures d’atténuation suivantes et d’envisager de les mettre en œuvre en fonction de leur environnement réseau.
• Les ordinateurs hôtes avec des installations confirmées d’un logiciel infecté devraient être retirés du réseau pour analyse judiciaire. Si un ordinateur compromis nécessite une réinstallation du système, il importe que celle-ci élimine complètement tous les artéfacts numériques, y compris dans les partitions de disque et le secteur d’amorçage principal.
• Recueillir les journaux portant sur les tentatives de connexion du ou des ordinateurs hôtes concernés.
Références
https://isc.sans.edu/forums/diary/Critical+Vulnerability+in+Cisco+WebEx+Chrome+Plugin/21965/ (en anglais)
https://bugs.chromium.org/p/project-zero/issues/detail?id=1096 (en Anglais)