miércoles, 30 de diciembre de 2020

Vulnerabilidad Zero-Day en SolarWinds permite instalar el malware SUPERNOVA

SolarWinds Zero-Day SUPERNOVA

      Según un aviso del CERT públicamente, se ha identificado una vulnerabilidad que afecta a la API de SolarWinds Orion (CVE-2020-10148) que siendo aprovechada por los atacantes permitiría ejecución de comandos remotos sin necesidad de autenticación. SolarWinds Orion es la herramienta utilizada para interactuar con el resto de los productos de gestión y supervisión del sistema.

En el aviso por parte del CERT indican que esto es posible debido a la inclusión de unos parámetros específicos en el Request.PathInfo de la solicitud que realiza el URI a la API. Además, han indicado que si se añade un parámetro de ‘ScriptResource.adx’, ‘Skipi18n’, ‘WebResource.adx’ o ‘i18n.ashx’ en el PathInfo de la llamada, se establece una marca SkipAuthorization en SolarWinds que permite procesar la solicitud a la API sin necesidad de autenticarse.

En el aviso de seguridad actualizado de SolarWinds el día 24 de diciembre se tomó nota de una vulnerabilidad en ese momento no especificada que permitía implementar software malicioso como es SUPERNOVA. En el momento que sucedió el aviso no era conocido como ese explotaba esta vulnerabilidad, hecho que ha sido descubierto está semana. Microsoft la semana pasada revelo que existe un segundo actor de amenazas que estaría abusando del software Orion para conseguir inyectar el malware SUPERNOVA en los sistemas de destino.

Los equipos de investigación de amenazas de Palo Alto Networks y GuidePoint Security corroboraron la información dada por parte de Microsoft, además, describieron como un WebShell.NET que se implementa en el módulo ”app_web_logoimagehandler.ashx. b6031896.dll” de la aplicación de Orion.

La función de este DLL es enviar a través de una API HTPP la imagen del logotipo a otros componentes de la aplicación web Orion, aunque con las adicciones maliciosas le permite ejecutar en memoria del usuario del servidor comandos recibidos de forma remota desde un servidor controlado por un atacante.

En la investigación que han realizado las agencias gubernamentales y los expertos de ciberseguridad han descubierto que el Shell de SUPERNOVA se elimina por un tercero que aún no ha sido confirmado, a diferencia de SUNBURST (troyano con función muy similar a SUPERNOVA) debido a que la DLL mencionada con anterioridad sí que es firmada digitalmente por SUNBURST, a diferencia de SUPERNOVA.

En caso de tener la aplicación Orion de SolarWinds con actualizar a la versión 2019.4 HF 6 (lanzada el 14 de diciembre de 2020) o bien la 2020.2.1 HF 2 (lanzada el 15 de diciembre de 2020) ya estarían aplicados los parches de seguridad necesarios para abordar las vulnerabilidades tanto de SUNBURST como SUPERNOVA.


No hay comentarios:

Publicar un comentario