Uma nova falha do SolarWinds provavelmente permitiu que hackers instalassem o malware SUPERNOVA

Views: 694
0 0
Read Time:3 Minute, 38 Second

Uma vulnerabilidade de desvio de autenticação no software SolarWinds Orion pode ter sido aproveitada pelos adversários como zero-day para implantar o malware SUPERNOVA em ambientes de destino.

De acordo com um comunicado publicado ontem pelo Centro de Coordenação cert, a API De Orion SolarWinds que é usada para interagir com todos os outros produtos de monitoramento e gerenciamento do sistema Orion sofre de uma falha de segurança (CVE-2020-10148) que poderia permitir que um invasor remoto executasse comandos de API não autenticados, resultando assim em um compromisso da instância solarWinds.

“A autenticação da API pode ser contornada incluindo parâmetros específicos na parte Request.PathInfo de uma solicitação URI à API, o que poderia permitir que um invasor execute comandos de API não autenticados”, afirma a assessoria.

“Em particular, se um invasor anexar um parâmetro PathInfo de ‘WebResource.adx’, ‘ScriptResource.adx’, ‘i18n.ashx’ ou ‘Skipi18n’ a uma solicitação a um servidor SolarWinds Orion, o SolarWinds pode definir a bandeira SkipAuthorization, que pode permitir que a solicitação de API seja processada sem exigir autenticação.”https://0e062df78b90e7dd19f7b9e08bb43749.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html

A SolarWinds, em uma atualização de seu aviso de segurança em 24 de dezembro, havia afirmado que softwares maliciosos poderiam ser implantados através da exploração de uma vulnerabilidade na Plataforma Orion. Mas os detalhes exatos da falha permaneceram incertos até agora.

Na semana passada, a Microsoft divulgou que um segundo ator de ameaças poderia estar abusando do software Orion da SolarWinds para lançar um pedaço adicional de malware chamado SUPERNOVA em sistemas de destino.

Também foi corroborado pelas empresas de cibersegurança Palo Alto Networks, equipe de inteligência de ameaças da Unidade 42 e pela GuidePoint Security,ambas descritas como um shell web .NET implementado modificando um módulo “app_web_logoimagehandler.ashx.b6031896.dll” do aplicativo SolarWinds Orion.

Embora o propósito legítimo do DLL seja devolver a imagem do logotipo configurada por um usuário para outros componentes do aplicativo web Orion através de uma API HTTP, as adições maliciosas permitem que ele receba comandos remotos de um servidor controlado por invasores e execute-os em memória no contexto do usuário do servidor.

“O SUPERNOVA é novo e potente devido à sua execução na memória, sofisticação em seus parâmetros e execução e flexibilidade, implementando uma API programática completa ao tempo de execução .NET”, observaram os pesquisadores da Unidade 42.

Diz-se que o web shell SUPERNOVA foi descartado por um terceiro não identificado diferente dos atores sunburst (rastreados como “UNC2452”) devido à DLL acima mencionada não ser assinada digitalmente, ao contrário do SUNBURST DLL.

O desenvolvimento vem à medida que agências governamentais e especialistas em segurança cibernética estão trabalhando para entender as consequências completas do hack e juntar a campanha global de intrusão que potencialmente aduziu 18.000 clientes da SolarWinds.https://0e062df78b90e7dd19f7b9e08bb43749.safeframe.googlesyndication.com/safeframe/1-0-37/html/container.html

FireEye, which was the first company to uncover the SUNBURST implant, said in an analysis that the actors behind the espionage operation routinely removed their tools, including the backdoors, once legitimate remote access was achieved — implying a high degree of technical sophistication and attention to operational security.

Evidence unearthed by ReversingLabs and Microsoft had revealed that key building blocks for the SolarWinds hack were put in place as early as October 2019 when the attackers laced a routine software update with innocuous modifications to blend in with the original code and later made malicious changes that allowed them to launch further attacks against its customers and to steal data.

Para lidar com a vulnerabilidade do bypass de autenticação, recomenda-se que os usuários atualizem as versões relevantes da Plataforma SolarWinds Orion:

  • 2019.4 HF 6 (lançado em 14 de dezembro de 2020)
  • 2020.2.1 HF 2 (lançado em 15 de dezembro de 2020)
  • 2019.2 SUPERNOVA Patch (lançado em 23 de dezembro de 2020)
  • 2018.4 SUPERNOVA Patch (lançado em 23 de dezembro de 2020)
  • 2018.2 SUPERNOVA Patch (lançado em 23 de dezembro de 2020)

Para os clientes que já atualizaram para as versões 2020.2.1 HF 2 ou 2019.4 HF 6, vale ressaltar que tanto as vulnerabilidades SUNBURST quanto SUPERNOVA foram abordadas, e nenhuma ação adicional é necessária.

FONTE: THE HACKER NEWS

POSTS RELACIONADOS