Backdoor Encontrado em Software Gerenciador de Servidores afeta Centenas de Empresas

Cibercriminosos conseguiram se infiltrar no mecanismo de atualização de software de gerenciamento de servidores e alteraram-no para incluir um backdoor avançado, que dura pelo menos 17 dias até que sejam descobertos.

Os cibercriminosos estão se tornando mais adeptos, inovadores e sigilosos a cada dia que passa. Eles agora estão adotando mais técnicas clandestinas que vêm com vetores de ataque ilimitados e são mais difíceis de detectar.

Dubbed ShadowPad , o backdoor secretamente deu aos atacantes controle completo, durante 17 dias, sobre as redes escondidas por trás do legitimo software assinado criptograficamente vendido pela NetSarang – usado por centenas de bancos, empresas de mídia, empresas de energia e empresas farmacêuticas, provedores de telecomunicações, transporte e logística e outras indústrias .

Segundo pesquisadores da Kaspersky Labs, que descobriram a backdoor, um hacker teria conseguido infiltrar-se no mecanismo de atualização do NetSarang e inserido silenciosamente a backdoor no processo de atualização do software, de forma que o código malicioso não fosse identificado pois estaria sendo identificado como sofwtare legítimo da NetSarang.

O ShadowPad é um exemplo dos perigos colocados por um ataque bem sucedido na cadeia de suprimentos“, disseram pesquisadores da Kaspersky

O backdoor secreto estava localizado na biblioteca nssock2.dll nas suítes de software Xmanager e Xshell da NetSarang que entraram no site NetSarang em 18 de julho.

No entanto, os pesquisadores da Kaspersky Labs descobriram o backdoor e informaram de forma privada a empresa em 4 de agosto, e a NetSarang imediatamente tomou medidas, retirando o pacote de software comprometido de seu site e substituindo-o por uma versão anterior limpa.

Em seu site, a  NetSarang informa como atualizar o produto de forma a eliminar o código malicioso.

Segundo a NetSarang, os provedores de antivírus foram informados e devem ter distribuído a vacina de forma a quarentenar/deletar aos arquivos infectados, mas neste caso você pode não ser capaz de rodar o software e precisará atualizar manualmente para reconstruir os módulos afetados.

fonte The Hacker News & NetSarang 

por MindSec   17/08/2017
About mindsecblog 208 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.