28 dic. 2020

Vulnerabilidad en SolarWinds permitió instalar SUPERNOVA (Parchea!)

Los adversarios pueden haber aprovechado una vulnerabilidad Zero-Day en el proceso de autenticación en el software SolarWinds Orion lo que habría permitido implementar el malware SUPERNOVA en entornos productivos.

Según un aviso publicado por el CERT, la API de SolarWinds Orion que se utiliza para interactuar con todos los demás productos de gestión y supervisión del sistema sufre una falla de seguridad identificada CVE-2020-10148 que podría permitir que un atacante remoto ejecute comandos sin autenticarse, lo que resulta en un compromiso de la instancia de SolarWinds.

"La autenticación de la API se puede omitir mediante la inclusión de parámetros específicos en la parte Request.PathInfo de una solicitud de URI a la API, lo que podría permitir a un atacante ejecutar comandos de API no autenticados", afirma el aviso. "En particular, si un atacante agrega un parámetro PathInfo de 'WebResource.adx', 'ScriptResource.adx', 'i18n.ashx' o 'Skipi18n' a una solicitud a un servidor Orion, SolarWinds puede establecer la marca SkipAuthorization, lo que puede permitir que se procese la solicitud de API sin requerir autenticación".

Vale la pena señalar que el aviso de seguridad actualizado de SolarWinds el 24 de diciembre tomó nota de una vulnerabilidad no especificada en la plataforma Orion que podría explotarse para implementar software malicioso como SUPERNOVA. Pero los detalles exactos de la falla no estaban claros hasta ahora. La semana pasada, Microsoft reveló que un segundo actor de amenazas podría haber estado abusando del software Orion de SolarWinds para lanzar una pieza adicional de malware llamada SUPERNOVA en los sistemas de destino.

También fue corroborado por el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto Networks y GuidePoint Security, quienes lo describieron como un Webshell .NET implementado mediante la modificación de un módulo "app_web_logoimagehandler.ashx.b6031896.dll" de la aplicación SolarWinds Orion.

Si bien el propósito legítimo de la DLL es devolver la imagen del logotipo configurada por un usuario a otros componentes de la aplicación web Orion a través de una API HTTP, las adiciones maliciosas le permiten recibir comandos remotos de un servidor controlado por un atacante y ejecutarlos en memoria en el contexto del usuario del servidor.

"SUPERNOVA es novedoso y potente debido a su ejecución en memoria, sofisticación en sus parámetros y ejecución y flexibilidad al implementar una API programática completa en el tiempo de ejecución de .NET", señalaron los investigadores de la Unidad 42.

Se dice que el shell de SUPERNOVA es eliminado por un tercero no identificado, diferente de los actores de SUNBURST (rastreado como "UNC2452") debido a que la DLL mencionada anteriormente no está firmada digitalmente, a diferencia de la DLL de SUNBURST.

Este descubrimiento se produjo cuando las agencias gubernamentales y los expertos en ciberseguridad están trabajando para comprender todas las consecuencias del hack y reconstruir la campaña de intrusión global que potencialmente ha atrapado a 18.000 clientes de SolarWinds.

FireEye, que fue la primera compañía en descubrir el implante SUNBURST, dijo en un análisis que los actores detrás de la operación de espionaje retiraban rutinariamente sus herramientas, incluidas las puertas traseras, una vez que se lograba el acceso remoto legítimo, lo que implica un alto grado de sofisticación técnica y atención a seguridad operacional.

La evidencia descubierta por ReversingLabs y Microsoft había revelado que los bloques de construcción clave para el hack de SolarWinds se pusieron en marcha ya en octubre de 2019 cuando los atacantes combinaron una actualización de software de rutina con modificaciones inocuas para combinar con el código original y luego realizaron cambios maliciosos que permitieron para lanzar más ataques contra sus clientes y robar datos.

Para abordar esta vulnerabilidad de autenticación, se recomienda que los usuarios actualicen a las versiones relevantes de la plataforma SolarWinds Orion:

  • 2019.4 HF 6 (lanzado el 14 de diciembre de 2020)
  • 2020.2.1 HF 2 (lanzado el 15 de diciembre de 2020)
  • Parche SUPERNOVA 2019.2 (lanzado el 23 de diciembre de 2020)
  • Parche 2018.4 SUPERNOVA (lanzado el 23 de diciembre de 2020) 2018.2
  • Parche SUPERNOVA (lanzado el 23 de diciembre de 2020)

Para los clientes que ya se han actualizado a las versiones 2020.2.1 HF 2 o 2019.4 HF 6, vale la pena señalar que se han abordado las vulnerabilidades SUNBURST y SUPERNOVA y no se requieren más acciones. 

Fuente: THN

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!