Vulnerabilidad Zero-Day en SolarWinds permite instalar el malware SUPERNOVA

SolarWinds Zero-Day SUPERNOVA

Según un aviso del CERT públicamente, se ha identificado
una vulnerabilidad que afecta a la API de SolarWinds Orion (CVE-2020-10148) que
siendo aprovechada por los atacantes permitiría ejecución de comandos remotos
sin necesidad de autenticación. SolarWinds Orion es la herramienta utilizada
para interactuar con el resto de los productos de gestión y supervisión del
sistema.

En el aviso por parte del CERT indican que esto es posible debido
a la inclusión de unos parámetros específicos en el Request.PathInfo de la
solicitud que realiza el URI a la API. Además, han indicado que si se añade un
parámetro de ‘ScriptResource.adx’, ‘Skipi18n’, ‘WebResource.adx’
o ‘i18n.ashx’ en el PathInfo de la llamada, se establece una marca SkipAuthorization en SolarWinds
que permite procesar la solicitud a la API sin necesidad de autenticarse.

En el aviso de seguridad actualizado de SolarWinds el día 24
de diciembre se tomó nota de una vulnerabilidad en ese momento no especificada
que permitía implementar software malicioso como es SUPERNOVA. En el momento que
sucedió el aviso no era conocido como ese explotaba esta vulnerabilidad, hecho
que ha sido descubierto está semana. Microsoft la semana pasada revelo que
existe un segundo actor de amenazas que estaría abusando del software Orion
para conseguir inyectar el malware SUPERNOVA en los sistemas de destino.

Los equipos de investigación de amenazas de Palo Alto
Networks y GuidePoint Security corroboraron la información dada por parte de
Microsoft, además, describieron como un WebShell.NET que se implementa en
el módulo ”app_web_logoimagehandler.ashx. b6031896.dll” de la aplicación
de Orion.

La función de este DLL es enviar a través de una API HTPP la
imagen del logotipo a otros componentes de la aplicación web Orion, aunque con
las adicciones maliciosas le permite ejecutar en memoria del usuario del
servidor comandos recibidos de forma remota desde un servidor controlado por un
atacante.

En la investigación que han realizado las agencias
gubernamentales y los expertos de ciberseguridad han descubierto que el Shell de
SUPERNOVA se elimina por un tercero que aún no ha sido confirmado, a diferencia
de SUNBURST (troyano con función muy similar a SUPERNOVA) debido a que la DLL
mencionada con anterioridad sí que es firmada digitalmente por SUNBURST, a
diferencia de SUPERNOVA.

En caso de tener la aplicación Orion de SolarWinds con actualizar
a la versión 2019.4 HF 6 (lanzada el 14 de diciembre de 2020) o bien la 2020.2.1
HF 2 (lanzada el 15 de diciembre de 2020) ya estarían aplicados los parches de
seguridad necesarios para abordar las vulnerabilidades tanto de SUNBURST como
SUPERNOVA.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity