CVE-2024-4978

Justice AV Solutions Viewer

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-05-29

Официальное описание

Justice AV Solutions (JAVS) Viewer installer contains a malicious version of ffmpeg.exe, named fffmpeg.exe (SHA256: 421a4ad2615941b177b6ec4ab5e239c14e62af2ab07c6df1741e2a62223223c4). When run, this creates a backdoor connection to a malicious C2 server.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-4978 представляет собой атаку на цепочку поставок (Supply Chain Attack). В официальный установщик Justice AV Solutions (JAVS) Viewer версии 8.3.7 был внедрен вредоносный исполняемый файл fffmpeg.exe (маскирующийся под легитимную утилиту ffmpeg).

При установке ПО данный файл инициирует скрытое соединение с командным сервером (C2) злоумышленников, предоставляя им полный удаленный доступ к системе через бэкдор. Вредоносный компонент обладает функциями кражи учетных данных, выполнения произвольного кода и дальнейшего продвижения по сети.

Как исправить

Для полного устранения угрозы необходимо выполнить следующие шаги:

  1. Полное удаление скомпрометированного ПО:
Get-Package -Name "JAVS Viewer" | Uninstall-Package
  1. Удаление вредоносного файла и связанных временных данных:
Remove-Item -Path "C:\Program Files (x86)\JAVS\Viewer 8\fffmpeg.exe" -Force

  1. Установка чистой версии: Скачайте и установите версию JAVS Viewer 8.3.8 или выше с официального сайта производителя, предварительно проверив контрольные суммы (Hash) дистрибутива.

  2. Сброс учетных данных: Поскольку бэкдор мог скомпрометировать локальные пароли и токены, необходимо принудительно сменить пароли всех пользователей, входивших в систему в период работы уязвимой версии.

Временные меры

Если немедленное обновление невозможно, примените следующие защитные механизмы:

  1. Блокировка запуска вредоносного процесса через AppLocker или Windows Defender Application Control (WDAC) по хешу:
New-AppLockerPolicy -FileInformation (Get-AppLockerFileInformation -Path "C:\Program Files (x86)\JAVS\Viewer 8\fffmpeg.exe") -RuleType Publisher, Hash
  1. Сетевая изоляция (блокировка известных C2-доменов и IP-адресов на уровне Firewall/EDR):
New-NetFirewallRule -DisplayName "Block JAVS C2" -Direction Outbound -RemoteAddress "45.128.232.131" -Action Block
  1. Поиск индикаторов компрометации (IoC) в системе:
Get-ChildItem -Path C:\ -Filter fffmpeg.exe -Recurse -ErrorAction SilentlyContinue
  1. Мониторинг подозрительной активности процесса fffmpeg.exe в SIEM/EDR системах на предмет исходящих соединений по нестандартным портам.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей