FireEye动态：SolarWinds Orion 新 0day用于安装SUPERNOVA

CERT 协调中心发布安全公告称，用于和其它所有 Orion 系统监控和管理产品交互得SolarWinds Orion API 易受一个漏洞 (CVE-2020-10148) 得影响，可导致远程攻击者执行未认证得 API 命令，从而导致 SolarWinds 实例被攻陷。

该安全公告指出，“在 API 的 URI 请求的 Request.PathInfo 部分包含特定的参数可绕过 API 认证，从而导致攻击者执行未认证的 API 命令。具体而言，如果攻击者在 SolarWinds Orion 服务器的请求后附加 ‘WebResource.adx’、’ScriptResource.adx’、‘i18n.ashx’ 或 ‘Skipi18n’，则可导致 SolarWinds 设置 SkipAuthorization 标记，从而导致在无需认证的情况下处理该 API 请求。“

值得注意的是，SolarWinds 在12月24日更新安全公告表示，Orion 平台中的一个未指定漏洞可被用于部署恶意软件如 Supernova。但关于该缺陷的详情目前尚不清楚。

上周，微软披露称又有一个黑客组织滥用 SolarWinds Orion 软件，在目标系统上滥用另外一款恶意软件 Supernova。Palo Alto Networks 公司 Unit 42 威胁情报团队和 GuidePoint Security 公司均将该漏洞描述为：通过更改SolarWinds Orion 应用程序的 “app_web_logoimagehandler.ashx.b6031896.dll” 模块而实现的一个 .NET Web shell。

虽然该 DLL 的合法目的是将用户配置的 logo 图像通过一个 HTTP API 返回给 Orion Web 应用程序的其它组件，但恶意目的可使其从受攻击者控制的服务器接受远程命令，并在服务器用户的上下文中在内存执行。

据称，Supernova shell 是由未识别的第三方（并非 SUNBURST 组织）释放的，因为上述 DLL 不像 SUNBURST DLL 那样被数字签名。

为解决这个认证绕过 0day，建议用户更新至相关的 SolarWinds Orion 平台版本：

• 2019.4 HF 6（发布于2020年12月14日）

• 2020.2.1 HF 2（发布于2020年12月15日）

• 2019.2 SUPERNOVA Patch（发布于2020年12月23日）

• 2018.4 SUPERNOVA Patch（发布于2020年12月23日）

• 2018.2 SUPERNOVA Patch （发布于2020年12月23日）

如客户已更新至 2020.2.1 HF 2 或 2019.4 HF 6 版本，则注意 SUNBURST 和 Supernova 漏洞均已被解决，无需额外操作。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。