FireEye动态:SolarWinds Orion 新 0day用于安装SUPERNOVA
SolarWinds Orion 软件中存在一个认证绕过 0day,已被攻击者用于在目标环境中部署 SUPERNOVA 恶意软件。
CERT 协调中心发布安全公告称,用于和其它所有 Orion 系统监控和管理产品交互得SolarWinds Orion API 易受一个漏洞 (CVE-2020-10148) 得影响,可导致远程攻击者执行未认证得 API 命令,从而导致 SolarWinds 实例被攻陷。
该安全公告指出,“在 API 的 URI 请求的 Request.PathInfo 部分包含特定的参数可绕过 API 认证,从而导致攻击者执行未认证的 API 命令。具体而言,如果攻击者在 SolarWinds Orion 服务器的请求后附加 ‘WebResource.adx’、’ScriptResource.adx’、‘i18n.ashx’ 或 ‘Skipi18n’,则可导致 SolarWinds 设置 SkipAuthorization 标记,从而导致在无需认证的情况下处理该 API 请求。“
值得注意的是,SolarWinds 在12月24日更新安全公告表示,Orion 平台中的一个未指定漏洞可被用于部署恶意软件如 Supernova。但关于该缺陷的详情目前尚不清楚。
上周,微软披露称又有一个黑客组织滥用 SolarWinds Orion 软件,在目标系统上滥用另外一款恶意软件 Supernova。Palo Alto Networks 公司 Unit 42 威胁情报团队和 GuidePoint Security 公司均将该漏洞描述为:通过更改SolarWinds Orion 应用程序的 “app_web_logoimagehandler.ashx.b6031896.dll” 模块而实现的一个 .NET Web shell。
虽然该 DLL 的合法目的是将用户配置的 logo 图像通过一个 HTTP API 返回给 Orion Web 应用程序的其它组件,但恶意目的可使其从受攻击者控制的服务器接受远程命令,并在服务器用户的上下文中在内存执行。
据称,Supernova shell 是由未识别的第三方(并非 SUNBURST 组织)释放的,因为上述 DLL 不像 SUNBURST DLL 那样被数字签名。
为解决这个认证绕过 0day,建议用户更新至相关的 SolarWinds Orion 平台版本:
2019.4 HF 6(发布于2020年12月14日)
2020.2.1 HF 2(发布于2020年12月15日)
2019.2 SUPERNOVA Patch(发布于2020年12月23日)
2018.4 SUPERNOVA Patch(发布于2020年12月23日)
2018.2 SUPERNOVA Patch (发布于2020年12月23日)
如客户已更新至 2020.2.1 HF 2 或 2019.4 HF 6 版本,则注意 SUNBURST 和 Supernova 漏洞均已被解决,无需额外操作。
FireEye 红队失窃工具大揭秘之:分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)
https://thehackernews.com/2020/12/a-new-solarwinds-flaw-likely-had-let.html
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。