Découverte d’un backdoor mis en place de façon délibérée dans l’équipement AMX N-X1200 pour le contrôle des systèmes audio et video (AV) de la compagnie américaine AMX, spécialisée dans les équipements de vidéo conférence, de présentations, de collaboration, de communication, de contrôle AV, etc. Suite à cette découverte, des inspections ont permis de dévoiler des backdoors dans 30 autres produits de AMX qui permettent de les compromettre complètement.
L’équipement AMX N-X1200 est utilisé par la Maison Blanche et les Forces Armées américaines. Parmi les autres clients de AMX des Départements de Police et de grandes universités américaines.
Le backdoor a été découvert par la compagnie SEC Consult, un leader international dans la sécurité des applications, qui effectuait une analyse de la procédure d’authentification de l’AMX NX-1200. Elle a découvert une fonction appelée « setUpSubtleUserAccount » qui a ajouté un compte administratif au nom de Black Widow. Cette fonction fait exactement ce que son nom suggère : « setUpSubtleUserAccount », créer un compte d’utilisateur subtil.
Les fonctions qui permettaient de récupérer la liste de tous les utilisateurs cachaient délibérément cet utilisateur selon SEC Consult. En outre en utilisant ce compte, on peut accéder à des fonctionnalités supplémentaires comme la capture de paquets sur l’interface de réseau que même un compte administrateur ne peut pas effectuer.
Après avoir alerté AMX, SEC Consult affirme que Black Widow, le nom de l’utilisateur du backdoor a disparu, mais pas le backdoor. Peu après un nouveau nom d’utilisateur du backdoor est apparu: 1MB@tMaN (I’m Batman).
La semaine dernière, la compagnie Cisco a été contrainte de corriger une vulnérabilité critique qui a été trouvé dans ses produits Aironet 1800 qui permet de créer un compte. Selon CISCO le compte créé ne donne pas de droits administratifs complets.
Dans le même temps, CISCO a annoncé la découverte d’une autre faille, classée « critique » dans certaines versions de Identity Services Engine (ISE), un outil de management et de contrôle des politiques, qui pourrait permettre à un attaquant d’accéder à distance au portail administratif de l’outil.
Rappelons que durant le mois de décembre 2015, un backdoor a été découvert sur des firewalls NetScreen de la compagnie Juniper Networks, et qu’au début de ce mois de janvier 2016 un autre backdoor a été découvert dans les firewalls de Fortinet utilisant FortiOS.