WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Lỗ hổng mới trong SolarWinds cho phép cài đặt phần mềm độc hại SUPERNOVA
Một lỗ hổng bỏ qua xác thực trong phần mềm SolarWinds Orion có thể đã bị lợi dụng để cài mã độc SUPERNOVA trong môi trường mục tiêu.
Theo một tư vấn do Trung tâm Điều phối CERT công bố ngày 25/12, API SolarWinds Orion được sử dụng để giao tiếp với tất cả sản phẩm quản lý và giám sát hệ thống Orion khác tồn tại lỗ hổng (CVE-2020-10148) có thể cho phép kẻ tấn công từ xa thực thi lệnh API không được xác thực, từ đó dẫn đến xâm phạm từng hệ thống SolarWinds riêng lẻ.
“Xác thực API có thể bị bỏ qua bằng cách đưa các tham số cụ thể vào phần Request.PathInfo của một yêu cầu URI tới API. Điều này có thể cho phép kẻ tấn công thực hiện các lệnh API chưa được xác thực”.
“Cụ thể, nếu kẻ tấn công thêm tham số PathInfo của 'WebResource.adx', 'ScriptResource.adx', 'i18n.ashx' hoặc 'Skipi18n' vào một yêu cầu tới máy chủ SolarWinds Orion, SolarWinds có thể đặt cờ SkipAuthorization cho phép yêu cầu API được xử lý mà không cần xác thực”.
Điều đáng chú ý là bản tin an ninh của SolarWinds ngày 24/12 đã lưu ý về một lỗ hổng chưa được xác định trong Orion Platform có thể bị khai thác để triển khai phần mềm giả mạo như SUPERNOVA. Nhưng chi tiết chính xác về lỗ hổng vẫn còn là bí ẩn.
Tuần trước, Microsoft đã tiết lộ một mối đe dọa thứ hai có thể đã lạm dụng phần mềm Orion của SolarWinds để thả phần mềm độc hại có tên SUPERNOVA vào các hệ thống mục tiêu.
Mã độc này cũng đã được Palo Alto Networks và GuidePoint Security chứng thực. Cả hai đều mô tả đó là một web shell .NET được triển khai bằng cách sửa đổi mô-đun "app_web_logoimagehandler.ashx.b6031896.dll" của ứng dụng SolarWinds Orion.
Mặc dù mục đích hợp pháp của DLL là trả lại hình ảnh logo được người dùng cấu hình cho các thành phần khác của ứng dụng web Orion thông qua API HTTP, các bổ sung độc hại cho phép DLL nhận các lệnh từ xa từ máy chủ do kẻ tấn công kiểm soát và thực thi chúng trong bộ nhớ ở ngữ cảnh của người dùng máy chủ.
“SUPERNOVA mới và mạnh do khả năng thực thi trong bộ nhớ, sự tinh vi trong các tham số, khả năng thực thi và linh hoạt bằng cách triển khai API lập trình đầy đủ tới runtime .NET”, các nhà nghiên cứu lưu ý.
Web shell SUPERNOVA được cho là do một bên thứ ba không xác định thực hiện, khác với SUNBURST (được theo dõi là "UNC2452") do DLL nói trên không được ký điện tử, không giống như SUNBURST DLL.
Để giải quyết lỗ hổng bỏ qua xác thực, người dùng nên cập nhật lên các phiên bản có liên quan của SolarWinds Orion Platform:
• 2019.4 HF 6 (phát hành ngày 14/12/2020)
• 2020.2.1 HF 2 (phát hành ngày 15/12/2020)
• Bản vá SUPERNOVA 2019.2 (phát hành ngày 23/12/2020)
• Bản vá SUPERNOVA 2018.4 (phát hành ngày 23/12/2020)
• Bản vá SUPERNOVA 2018.2 (phát hành ngày 23/12/2020)
Đối với những khách hàng đã nâng cấp lên phiên bản 2020.2.1 HF 2 hoặc 2019.4 HF 6, cả hai lỗ hổng SUNBURST và SUPERNOVA đều đã được giải quyết.
Theo một tư vấn do Trung tâm Điều phối CERT công bố ngày 25/12, API SolarWinds Orion được sử dụng để giao tiếp với tất cả sản phẩm quản lý và giám sát hệ thống Orion khác tồn tại lỗ hổng (CVE-2020-10148) có thể cho phép kẻ tấn công từ xa thực thi lệnh API không được xác thực, từ đó dẫn đến xâm phạm từng hệ thống SolarWinds riêng lẻ.
“Xác thực API có thể bị bỏ qua bằng cách đưa các tham số cụ thể vào phần Request.PathInfo của một yêu cầu URI tới API. Điều này có thể cho phép kẻ tấn công thực hiện các lệnh API chưa được xác thực”.
“Cụ thể, nếu kẻ tấn công thêm tham số PathInfo của 'WebResource.adx', 'ScriptResource.adx', 'i18n.ashx' hoặc 'Skipi18n' vào một yêu cầu tới máy chủ SolarWinds Orion, SolarWinds có thể đặt cờ SkipAuthorization cho phép yêu cầu API được xử lý mà không cần xác thực”.
Điều đáng chú ý là bản tin an ninh của SolarWinds ngày 24/12 đã lưu ý về một lỗ hổng chưa được xác định trong Orion Platform có thể bị khai thác để triển khai phần mềm giả mạo như SUPERNOVA. Nhưng chi tiết chính xác về lỗ hổng vẫn còn là bí ẩn.
Tuần trước, Microsoft đã tiết lộ một mối đe dọa thứ hai có thể đã lạm dụng phần mềm Orion của SolarWinds để thả phần mềm độc hại có tên SUPERNOVA vào các hệ thống mục tiêu.
Mã độc này cũng đã được Palo Alto Networks và GuidePoint Security chứng thực. Cả hai đều mô tả đó là một web shell .NET được triển khai bằng cách sửa đổi mô-đun "app_web_logoimagehandler.ashx.b6031896.dll" của ứng dụng SolarWinds Orion.
Mặc dù mục đích hợp pháp của DLL là trả lại hình ảnh logo được người dùng cấu hình cho các thành phần khác của ứng dụng web Orion thông qua API HTTP, các bổ sung độc hại cho phép DLL nhận các lệnh từ xa từ máy chủ do kẻ tấn công kiểm soát và thực thi chúng trong bộ nhớ ở ngữ cảnh của người dùng máy chủ.
“SUPERNOVA mới và mạnh do khả năng thực thi trong bộ nhớ, sự tinh vi trong các tham số, khả năng thực thi và linh hoạt bằng cách triển khai API lập trình đầy đủ tới runtime .NET”, các nhà nghiên cứu lưu ý.
Web shell SUPERNOVA được cho là do một bên thứ ba không xác định thực hiện, khác với SUNBURST (được theo dõi là "UNC2452") do DLL nói trên không được ký điện tử, không giống như SUNBURST DLL.
Để giải quyết lỗ hổng bỏ qua xác thực, người dùng nên cập nhật lên các phiên bản có liên quan của SolarWinds Orion Platform:
• 2019.4 HF 6 (phát hành ngày 14/12/2020)
• 2020.2.1 HF 2 (phát hành ngày 15/12/2020)
• Bản vá SUPERNOVA 2019.2 (phát hành ngày 23/12/2020)
• Bản vá SUPERNOVA 2018.4 (phát hành ngày 23/12/2020)
• Bản vá SUPERNOVA 2018.2 (phát hành ngày 23/12/2020)
Đối với những khách hàng đã nâng cấp lên phiên bản 2020.2.1 HF 2 hoặc 2019.4 HF 6, cả hai lỗ hổng SUNBURST và SUPERNOVA đều đã được giải quyết.
Theo The Hacker News