Nueva vulnerabilidad de SolarWinds permitió a los hackers instalar el malware SUPERNOVA
Es posible que los ciberdelincuentes hayan aprovechado una vulnerabilidad de evasión de autenticación en el software SolarWinds Orion como día cero (zero-day). Estos usaron la vulnerabilidad para implementar el malware SUPERNOVA en los entornos de destino.
Según un aviso publicado el viernes por el Centro de Coordinación CERT, la API de SolarWinds Orion ha sido atacada nuevamente. Esta API se utiliza para interactuar con todos los demás productos de gestión y monitoreo del sistema Orion y sufre una vulnerabilidad de seguridad (CVE-2020-10148). La vulnerabilidad podría permitir que un atacante remoto ejecute sin autenticarse Comandos API, lo que da como resultado un compromiso de la instancia de SolarWinds.
“La autenticación de la API se puede evadir al incluir parámetros específicos en la parte Request.PathInfo de una solicitud de URI a la API. Esto podría permitir que un atacante ejecute comandos de API no autenticados”, afirma el aviso.
“En particular, si un atacante agrega un parámetro PathInfo de ‘WebResource.adx,’ ‘ScriptResource.adx,’ ‘i18n.ashx,’ o ‘Skipi18n a una solicitud a un servidor SolarWinds Orion, SolarWinds puede establecer un indicador SkipAuthorization. Esto puede permitir que la solicitud de la API se procese sin requerir autenticación”.
SUPERNOVA
Cabe destacar que el aviso de seguridad actualizado de SolarWinds el 24 de diciembre tomó nota de una vulnerabilidad no especificada en la plataforma Orion. La vulnerabilidad podría explotarse para implementar software fraudulento como SUPERNOVA. Pero los detalles exactos de la vulnerabilidad no estaban claros hasta ahora.
La semana pasada, Microsoft reveló que un segundo actor de amenazas podría haber estado abusando del software Orion de SolarWinds. Estos habrían utilizado el software para lanzar una pieza adicional de malware llamada SUPERNOVA en los sistemas de destino.
También fue corroborado por el equipo de inteligencia de amenazas de la Unidad 42 de las firmas de ciberseguridad Palo Alto Networks y GuidePoint Security. Fueron ellos quienes lo describieron como una shell web .NET implementada mediante la modificación de un módulo “app_web_logoimagehandler.ashx.b6031896.dll” de la aplicación SolarWinds Orion.
El propósito legítimo de la DLL es devolver la imagen del logotipo configurada por un usuario a otros componentes de la aplicación web Orion. Esto a través de una API HTTP. Sin embargo, las adiciones maliciosas le permiten recibir comandos remotos de un servidor controlado por un atacante. Y, puede ejecutar los comandos en memoria en el contexto del usuario del servidor.
“SUPERNOVA es novedoso y potente debido a su ejecución en memoria, sofisticación en sus parámetros y ejecución y flexibilidad. Esto al implementar una API programática completa en el tiempo de ejecución de .NET”, señalaron los investigadores de la Unidad 42.
Se dice que la shell web de SUPERNOVA es utilizada por un tercero no identificado diferente de los actores de SUNBURST (rastreado como “UNC2452”). Esto debido a que la DLL mencionada anteriormente no está firmada digitalmente, a diferencia de la DLL de SUNBURST.
Afectados
El desarrollo se produce cuando las agencias gubernamentales y los expertos en ciberseguridad están trabajando para ver el alcance del primer ataque. Están tratando de comprender las consecuencias del hackeo y reconstruir la campaña de intrusión global que potencialmente ha afectado a 18,000 clientes de SolarWinds.
FireEye, que fue la primera compañía en descubrir el implante SUNBURST. La empresa dijo en un análisis que los actores detrás de la operación de espionaje robaban rutinariamente sus herramientas. Esto incluía las puertas traseras, una vez que lograban un acceso remoto legítimo. El ataque implica un alto grado de sofisticación técnica y atención a seguridad operacional.
La evidencia descubierta por ReversingLabs y Microsoft había revelado que los bloques de construcción clave para el hackeo de SolarWinds se implementaron hace meses. Todo inició en octubre de 2019 cuando los atacantes agregaron una actualización de software de rutina con modificaciones inocuas para combinar con el código original. Y, luego realizaron cambios maliciosos que les permitieron lanzar más ataques contra sus clientes y robar datos.
Para abordar la vulnerabilidad de evasión de autenticación, les recomendamos a los usuarios que actualicen a las versiones relevantes de la plataforma SolarWinds Orion:
- 2019.4 HF 6 (lanzado el 14 de diciembre de 2020)
- 2020.2.1 HF 2 (lanzado el 15 de diciembre de 2020)
- Parche 2019.2 SUPERNOVA (lanzado el 23 de diciembre de 2020)
- Parche 2018.4 SUPERNOVA (lanzado el 23 de diciembre de 2020)
- Y, el Parche 2018.2 SUPERNOVA (lanzado el 23 de diciembre de 2020)
Para los clientes que ya han actualizado a las versiones 2020.2.1 HF 2 o 2019.4 HF 6 hay que recalcar aspectos importantes. Cabe destacar que se han abordado las vulnerabilidades de SUNBURST y SUPERNOVA y no requieren hacer más acciones.