[Corée du Sud] Attaque contre un serveur PACS : dcm4che visé

L’équipe d’analyse de l’acteur de cyberdéfense coréen ASEC a découvert une attaque contre le serveur PACS (Picture Archiving and Communication System) utilisé par les institutions médicales coréennes.

À titre de rappel, un PACS est un système de gestion et de transfert numérique d’imagerie médicale utilisé dans le secteur hospitalier.

Le cas découvert par l’équipe d’analyse d’ASEC concerne une application open source basée sur JAVA nommée dcm4che, utilisée dans la configuration des serveurs PACS. Ce programme prend en charge le traitement des images médicales et fournit une interface Web pour la gestion de celles-ci. Il permet également à l’utilisateur de configurer sans difficulté un serveur PACS. L’application utilise le conteneur Web JBoss.

Les attaques visant dcm4che sont menées en utilisant l’outil open source d’exploitation de vulnérabilités JexBoss (JBoss Verify and EXploitation tool), disponible sur GitHub. Lorsque JexBoss découvre une vulnérabilité sur un environnement JBoss, il peut installer un conteneur Web afin de compromettre le système ciblé. Dans le cadre de l’attaque découverte, le processus vulnérable javaservice.exe a donc installé un conteneur Web à partir de l’URL fournie par JexBoss.  Après l’installation du conteneur Web, l’attaquant a pu exécuter la commande tasklist pour vérifier la liste des processus en cours d’exécution.

L’attaquant a ensuite installé la charge utile Meterpreter, afin de prendre le contrôle complet du système infecté en utilisant le cadre d’application Metasploit.

Par mesure de sécurité, les administrateurs de serveurs utilisant dcm4che doivent donc modifier les informations d’identification de compte définies par défaut et mettre à jour les serveurs PACS vers la version corrigée la plus récente. Pour les serveurs exposés sur Internet, il est également nécessaire de contrôler les accès externes via des produits de sécurité.

L’application dcm4che est également déployée en France. Il est donc recommandé de procéder à une mise à jour de sécurité sur son serveur PACS.

Indicateurs de compromission

MD5 :

3f156bd68b2a32a1b5cb03af318667f0 (jews.war)

acda46759d7c3526df2a6c59803586a4 (jexws4.jsp)

8fe01532bfa9803f1a9b174289c2cbbc (de4444.exe)

URL & C2 :

62.138.7[.]234:4444

hxxp://62.138.7[.]234:2468

hxxp://34.220.245[.]178/de.ps1

hxxp://62.138.7[.]234:5555