Revelan 3 nuevas vulnerabilidades críticas de SolarWinds
Investigadores de ciberseguridad revelaron ayer tres graves vulnerabilidades que afectan a los productos SolarWinds. La más grave de las vulnerabilidades podría haber sido explotada para lograr la ejecución remota de código con privilegios elevados.
Dos de las vulnerabilidades (CVE-2021-25274 y CVE-2021-25275) se identificaron en la plataforma SolarWinds Orion. Por otra parte, una tercera vulnerabilidad separada (CVE-2021-25276) se encontró en el servidor FTP Serv-U de la compañía para Windows. Esto según dijo la firma de ciberseguridad Trustwave en un análisis técnico.
Ninguno de los tres problemas de seguridad se ha explotado en el ataque sin precedentes a la cadena de suministro dirigido a la Plataforma Orion. Recordemos que este incidente salió a la luz en diciembre pasado.
Los dos conjuntos de vulnerabilidades en Orion y Serv-U FTP se revelaron a SolarWinds el 30 de diciembre de 2020 y el 4 de enero de 2021, respectivamente. Posteriormente, la compañía resolvió los problemas el 22 de enero y el 25 de enero.
Recomendamos encarecidamente que los usuarios instalen las últimas versiones de Orion Platform y Serv-U FTP (15.2.2 Hotfix 1). Esto para mitigar los riesgos asociados con las vulnerabilidades. Trustwave dijo que tienen la intención de lanzar un código de prueba de concepto (PoC) la próxima semana, el 9 de febrero.
Control total sobre Orion
La principal de las vulnerabilidades descubiertas por Trustwave incluye el uso inadecuado de Microsoft Messaging Queue (MSMQ). MSMQ es muy utilizado por SolarWinds Orion Collector Service, lo que permite a los usuarios no autenticados enviar mensajes a dichas colas a través del puerto TCP 1801. Y, finalmente, se puede obtener RCE al encadenarlo con otro problema de deserialización insegura en el código que administra los mensajes entrantes.
“Dado que el código de procesamiento de mensajes se ejecuta como un servicio de Windows configurado para usar la cuenta LocalSystem, tenemos un control completo del sistema operativo subyacente”.
Martin Rakhmanov – investigador de Trustwave
El parche lanzado por SolarWinds (Orion Platform 2020.2.4) aborda la vulnerabilidad con un paso de validación de firma digital. Este se realiza en los mensajes recibidos para garantizar que los mensajes sin firmar no se procesen más. No obstante, Rakhmanov advirtió que el MSMQ aún no está autenticado y permite que cualquiera pueda enviar mensajes a él.
La segunda vulnerabilidad también se encuentra en la plataforma Orion. Esta se refiere a la manera insegura en la que las credenciales de la base de datos. se almacenan en un archivo de configuración. La base de datos es llamada “SOLARWINDS_ORION”. Esto resulta en que un usuario local sin privilegios puede tomar el control de información. Este incluso puede agregar un nuevo usuario de nivel de administrador para utilizarlo dentro de los productos SolarWinds Orion.
Tercera vulnerabilidad
La tercera, es una vulnerabilidad en SolarWinds Serv-U FTP Server 15.2.1 para Windows. Esta podría permitir que cualquier atacante que pueda iniciar sesión en el sistema localmente o mediante Escritorio remoto libere un archivo. Este archivo puede definir un nuevo usuario administrador con acceso completo a la unidad C:\. Este luego se puede aprovechar iniciando sesión como ese usuario a través de FTP y leer o reemplazar cualquier archivo en la unidad.
El Departamento de Agricultura de los Estados Unidos fue atacado con las nuevas vulnerabilidades
Las noticias de las tres vulnerabilidades se producen inmediatamente después de los informes de que presuntos actores de amenazas chinos explotaron una vulnerabilidad previamente indocumentada. Estos aprovecharon la vulnerabilidad en el software de la compañía para ingresar al Centro Nacional de Finanzas. Esta es una agencia federal dentro del Departamento de Agricultura de Estados Unidos.
Se dice que esta vulnerabilidad es diferente de las que fueron aprovechadas por presuntos agentes de amenazas rusos. Estos agentes comprometieron el software SolarWinds Orion que luego se distribuyó a hasta 18,000 de sus clientes, según Reuters.
A fines de diciembre, Microsoft dijo que un segundo colectivo de ciberdelincuentes podría haber estado abusando del software Orion del proveedor de infraestructura informática. Esto para colocar una puerta trasera persistente llamada Supernova en los sistemas de destino al aprovechar una vulnerabilidad de omisión de autenticación. La puerta trasera fue implementada en la API de Orion para ejecutar comandos arbitrarios.
SolarWinds emitió un parche para abordar la vulnerabilidad el 26 de diciembre de 2020.
La semana pasada, Brandon Wales, director interino de la Agencia de Infraestructura y Ciberseguridad (CISA) de Estados Unidos brindó declaraciones. Él dijo que el 30% de las agencias gubernamentales y del sector privado vinculadas a la campaña de intrusión no tenían conexión directa con SolarWinds. Esto implica que los atacantes utilizaron una variedad de formas de vulnerar los entornos de destino.
Estas campañas son señal de que los grupos de amenazas persistentes avanzadas (APT) se enfocan cada vez más en la cadena de suministro de software. Esto como un conducto para atacar objetivos de alto valor como corporaciones y agencias gubernamentales.
Objetivos lucrativos
La confianza y la ubicuidad de software como los de SolarWinds o Microsoft los convierten en un objetivo lucrativo para los atacantes. Esto subraya la necesidad de que las organizaciones estén atentas a los peligros potenciales derivados de confiar en herramientas de terceros para administrar sus plataformas y servicios.