攻击者可能已将SolarWinds Orion软件中的一个身份验证绕过漏洞作为0-day漏洞,在目标环境中部署SuperNova恶意软件。
根据美国CERT/CC 12月26日发布的一则安全公告,用于与所有其他Orion系统监控和管理产品连接的SolarWinds Orion API存在一个安全漏洞(CVE-2020-10148),远程攻击者可利用该漏洞执行未经身份验证的API命令,从而入侵SolarWinds实例。
该公告指出,通过在发给该API的URI的Request.PathInfo部分包含特定的参数,可绕过该API的身份验证。
特别是,如果攻击者将‘WebResource.adx’,‘ScriptResource.adx’,‘i18n.ashx’或‘Skipi18n’的PathInfo参数附加到发给SolarWinds Orion服务器的请求,SolarWinds会设置SkipAuthorization标识,这可能会导致在不需要身份验证的情况下处理该API请求。
SolarWinds 12月24日更新了此前的安全公告,指出攻击者可通过利用Orion Platform中的一个漏洞部署恶意软件。但是该漏洞的详细信息仍未完全披露。
上周,Microsoft披露了第二个威胁行为者,该威胁行为者可能已经滥用SolarWinds Orion软件在目标系统上投递另一个恶意软件SuperNova。
这同样得到了Palo Alto Networks Unit 42威胁情报团队和GuidePoint Security公司的证实。这两家安全公司都将它描述为一个.NET web shell,通过修改SolarWinds Orion应用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模块而实现。
虽然该DLL的合法用途,是将用户配置的logo图像通过一个HTTP API返回给Orion web应用程序的其他组件,但是该恶意软件允许它接收来自受攻击者控制的服务器的远程命令,并在该服务器用户的上下文中在内存执行命令。
Unit 42团队的研究人员指出,SuperNova新颖而强大,因为其在内存中执行,以及其参数和执行的复杂性,和通过.NET runtime实现完整编程API的灵活性。
SuperNova web shell据说是由一个不明身份的第三方行为者投递的,不同于SunBurst行为者(UNC2452),因为不像SunBurst DLL,前述DLL未经数字签名。
政府机构和网络安全专家正在努力了解该攻击的全部后果,并将可能席卷1.8万名SolarWinds客户的全球入侵行动拼凑起来。
发现SunBrust植入软件的第一个公司FireEye,在一篇分析文章中表示,一旦实现了合法的远程访问,该间谍行动的幕后行为者通常会移除他们的工具,包括后门。这意味着高度的技术成熟度和对行动安全的关注。
ReversingLabs和Microsoft发现的证据显示,早在2019年10月,用于攻击SolarWinds的关键构建代码块就已经就位,当时攻击者添加了一个带有无害修改的常规软件更新,以与原始代码融合,随后进行了恶意修改,使其能够对SolarWinds客户发动进一步的攻击和窃取数据。
当前厂商提供的SolarWinds Orion Platform相关版本的更新包括:
2019.4 HF 6(2020年12月14日发布)
2020.2.1 HF 2(2020年12月15日发布)
2019.2 SUPERNOVA Patch(2020年12月23日发布)
2018.4 SUPERNOVA Patch(2020年12月23日发布)
2018.2 SUPERNOVA Patch(2020年12月23日发布)
升级到2020.2.1 HF 2版本或2019.4 HF 6版本的客户已经修复了SunBurst和SuperNova漏洞,无需采取进一步措施。
作者:Ravie Lakshmanan
来源:The Hacker News
来源:freebuf.com 2020-12-28 15:56:52 by: 偶然路过的围观群众
请登录后发表评论
注册