查看原文
其他

FireEye动态:SolarWinds Orion 新 0day用于安装SUPERNOVA

Ravie Lakshmanan 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!


SolarWinds Orion 软件中存在一个认证绕过 0day,已被攻击者用于在目标环境中部署 SUPERNOVA 恶意软件。


CERT 协调中心发布安全公告称,用于和其它所有 Orion 系统监控和管理产品交互得SolarWinds Orion API 易受一个漏洞 (CVE-2020-10148) 得影响,可导致远程攻击者执行未认证得 API 命令,从而导致 SolarWinds 实例被攻陷。

该安全公告指出,“在 API 的 URI 请求的 Request.PathInfo 部分包含特定的参数可绕过 API 认证,从而导致攻击者执行未认证的 API 命令。具体而言,如果攻击者在 SolarWinds Orion 服务器的请求后附加 ‘WebResource.adx’、’ScriptResource.adx’、‘i18n.ashx’ 或 ‘Skipi18n’,则可导致 SolarWinds 设置 SkipAuthorization 标记,从而导致在无需认证的情况下处理该 API 请求。“

值得注意的是,SolarWinds 在12月24日更新安全公告表示,Orion 平台中的一个未指定漏洞可被用于部署恶意软件如 Supernova。但关于该缺陷的详情目前尚不清楚。

上周,微软披露称又有一个黑客组织滥用 SolarWinds Orion 软件,在目标系统上滥用另外一款恶意软件 Supernova。Palo Alto Networks 公司 Unit 42 威胁情报团队和 GuidePoint Security 公司均将该漏洞描述为:通过更改SolarWinds Orion 应用程序的 “app_web_logoimagehandler.ashx.b6031896.dll” 模块而实现的一个 .NET Web shell。

虽然该 DLL 的合法目的是将用户配置的 logo 图像通过一个 HTTP API 返回给 Orion Web 应用程序的其它组件,但恶意目的可使其从受攻击者控制的服务器接受远程命令,并在服务器用户的上下文中在内存执行。

据称,Supernova shell 是由未识别的第三方(并非 SUNBURST 组织)释放的,因为上述 DLL 不像 SUNBURST DLL 那样被数字签名。

为解决这个认证绕过 0day,建议用户更新至相关的 SolarWinds Orion 平台版本:

  • 2019.4 HF 6(发布于2020年12月14日)

  • 2020.2.1 HF 2(发布于2020年12月15日)

  • 2019.2 SUPERNOVA Patch(发布于2020年12月23日)

  • 2018.4 SUPERNOVA Patch(发布于2020年12月23日)

  • 2018.2 SUPERNOVA Patch (发布于2020年12月23日)

如客户已更新至 2020.2.1 HF 2 或 2019.4 HF 6 版本,则注意 SUNBURST 和 Supernova 漏洞均已被解决,无需额外操作。




推荐阅读
FireEye事件新动态:APT 攻击 SolarWinds 全球供应链(详解)
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)



原文链接

https://thehackernews.com/2020/12/a-new-solarwinds-flaw-likely-had-let.html

题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。



奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存