一个新的SolarWinds缺陷可能让黑客安装了SUPERNOVA恶意软件

SolarWinds Orion软件中存在绕过身份验证的漏洞，对手可能利用该漏洞在目标环境中部署SUPERNOVA恶意软件。

根据CERT协调中心昨天发布的一条建议，用于与所有其他Orion系统监控和管理产品接口的SolarWinds Orion API存在安全漏洞（CVE-2020-10148），远程攻击者可以通过该漏洞执行未经验证的API命令，从而导致了太阳风实例的折衷。

“通过在对API的URI请求的Request.PathInfo部分包含特定参数，可以绕过API的身份验证，这可能允许攻击者执行未经身份验证的API命令，”该建议指出。

“特别是，如果攻击者在SolarWinds Orion服务器的请求中附加了'WebResource.adx'、'ScriptResource.adx'、'i18n.ashx'或'Skipi18n'的PathInfo参数，SolarWinds可能会设置SkipAuthorization标志，从而允许在不需要身份验证的情况下处理API请求。”

值得注意的是，SolarWinds在12月24日发布的最新安全公告中指出，猎户座平台上存在一个未指明的漏洞，可利用该漏洞部署超新星等恶意软件。但到目前为止，该漏洞的具体细节仍不清楚。

在过去一周，微软透露，第二个威胁参与者可能滥用SolarWinds的猎户座软件，在目标系统上投放另一个名为SUPERNOVA的恶意软件。

网络安全公司Palo Alto Networks的第42单元威胁情报团队和GuidePoint Security也证实了这一点，他们都将其描述为一种威胁。NET web shell通过修改SolarWinds Orion应用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模块实现。

虽然DLL的合法用途是通过HTTP API将用户配置的徽标图像返回到Orion web应用程序的其他组件，但恶意添加允许它接收来自攻击者控制的服务器的远程命令，并在服务器用户上下文中的内存中执行这些命令。

第42单元的研究人员指出：“SUPERNOVA是一种新颖而强大的技术，因为它在内存中执行、参数和执行的复杂性，以及通过在.NET运行时实现完整的编程API实现的灵活性。”。

超新星网络外壳据说是由一个与SUNBURST actors（追踪为“UNC2452”）不同的身份不明的第三方丢弃的，因为与SUNBURST DLL不同，上述DLL没有数字签名。

这一发展正值政府机构和网络安全专家正在努力了解黑客攻击的全部后果，并将可能诱捕18000名SolarWinds客户的全球入侵活动整合在一起。

FireEye是第一家发现SUNBURST植入物的公司，它在一份分析报告中说，一旦实现了合法的远程访问，间谍行动背后的参与者通常会移除他们的工具，包括后门；这意味着高度的技术成熟度和对运营安全的关注。

ReversingLabs和微软发现的证据显示，早在2019年10月，SolarWinds黑客攻击的关键构建块就已经就位。当时，攻击者在例行软件更新中加入了无害的修改，以融入原始代码，随后进行了恶意更改，允许他们发动进一步的攻击并窃取数据。

为了解决绕过身份验证的漏洞，建议用户更新到SolarWinds Orion平台的相关版本：

• 2019.4 HF 6（2020年12月14日发布）
• 2020.2.1 HF 2（2020年12月15日发布）
• 2019.2超新星补丁（2020年12月23日发布）
• 2018.4超新星补丁（2020年12月23日发布）
• 2018.2超新星补丁（2020年12月23日发布）

对于已经升级到2020.2.1 HF 2或2019.4 HF 6版本的客户，值得注意的是，SUNBURST和SUPERNOVA漏洞都已得到解决，无需采取进一步行动。