Các nhà nghiên cứu an ninh mạng hôm thứ Tư đã tiết lộ ba lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm của SolarWinds, trong đó lỗ hổng nghiêm trọng nhất có thể đã được khai thác để thực thi mã từ xa với các đặc quyền nâng cao.
Hai trong số các lỗ hổng (CVE-2021-25274 và CVE-2021-25275) đã được xác định trong Nền tảng SolarWinds Orion, trong khi một điểm yếu riêng biệt thứ ba (CVE-2021-25276) được tìm thấy trong máy chủ Serv-U FTP của công ty dành cho Windows, nói công ty an ninh mạng Trustwave trong phân tích kỹ thuật.
Không có vấn đề nào trong số ba vấn đề an ninh đã được khai thác trong tấn công chuỗi cung ứng nhắm mục tiêu đến Nền tảng Orion đã ra mắt vào tháng 12 năm ngoái.
Hai bộ lỗ hổng trong Orion và Serv-U FTP lần lượt được tiết lộ cho SolarWinds vào ngày 30 tháng 12 năm 2020 và ngày 4 tháng 1 năm 2021, sau đó công ty đã giải quyết các vấn đề vào ngày 22 tháng 1 và ngày 25 tháng 1.
Người dùng rất nên cài đặt các phiên bản mới nhất của Nền tảng Orion và Serv-U FTP (15.2.2 Hotfix 1) để giảm thiểu rủi ro liên quan đến sai sót. Trustwave cho biết họ dự định phát hành mã bằng chứng khái niệm (PoC) vào tuần tới vào ngày 9 tháng 2.
Hoàn toàn kiểm soát Orion
Đứng đầu trong số các lỗ hổng được Trustwave phát hiện bao gồm việc sử dụng không đúng cách Hàng đợi Nhắn tin của Microsoft (MSMQ), được sử dụng nhiều bởi SolarWinds Orion Collector Service, do đó cho phép người dùng chưa được xác thực gửi tin nhắn đến các hàng đợi như vậy qua cổng TCP 1801 và cuối cùng đạt được RCE bằng cách kết nối nó với một vấn đề không an toàn khác trong mã xử lý các tin nhắn đến.
Nhà nghiên cứu Martin Rakhmanov của Trust cho biết: “Do mã xử lý tin nhắn chạy như một dịch vụ Windows được định cấu hình để sử dụng tài khoản LocalSystem, nên chúng tôi có toàn quyền kiểm soát hệ điều hành bên dưới.
Bản vá được phát hành bởi SolarWinds (Nền tảng Orion 2020.2.4) giải quyết lỗi bằng bước xác thực chữ ký số được thực hiện trên các thư đến để đảm bảo rằng các thư chưa ký không được xử lý thêm, nhưng Rakhmanov cảnh báo rằng MSMQ vẫn chưa được xác thực và cho phép bất kỳ ai gửi thư đến đó.
Lỗ hổng thứ hai, cũng được tìm thấy trong Nền tảng Orion, liên quan đến cách thức không an toàn, trong đó thông tin xác thực của cơ sở dữ liệu phụ trợ (có tên “SOLARWINDS_ORION”) được lưu trữ trong tệp cấu hình, dẫn đến việc người dùng cục bộ, không có đặc quyền kiểm soát hoàn toàn cơ sở dữ liệu, ăn cắp thông tin, hoặc thậm chí thêm người dùng cấp quản trị viên mới được sử dụng bên trong các sản phẩm SolarWinds Orion.
Cuối cùng, một khuyết điểm trong SolarWinds Serv-U FTP Server 15.2.1 cho Windows có thể cho phép bất kỳ kẻ tấn công nào có thể đăng nhập vào hệ thống cục bộ hoặc thông qua Máy tính Từ xa để thả tệp xác định người dùng quản trị mới có toàn quyền truy cập vào ổ C: , điều này có thể sau đó được tận dụng bằng cách đăng nhập với tư cách người dùng đó qua FTP và đọc hoặc thay thế bất kỳ tệp nào trên ổ đĩa.
Bộ Nông nghiệp Hoa Kỳ nhắm mục tiêu sử dụng lỗi SolarWinds mới
Tin tức về ba lỗ hổng trong các sản phẩm của SolarWinds xuất hiện sau các báo cáo cho rằng các tác nhân đe dọa Trung Quốc đã khai thác một lỗ hổng chưa có giấy tờ trước đây trong phần mềm của công ty để đột nhập vào Trung tâm Tài chính Quốc gia, một cơ quan trả lương liên bang thuộc Bộ Nông nghiệp Hoa Kỳ.
Lỗ hổng này được cho là khác với những lỗ hổng đã bị lạm dụng bởi những kẻ tình nghi là mối đe dọa của Nga để xâm phạm phần mềm SolarWinds Orion mà sau đó đã được phân phối cho 18.000 khách hàng của mình, theo Reuters.
Vào cuối tháng 12, Microsoft nói một nhóm hacker thứ hai có thể đã lạm dụng phần mềm Orion của nhà cung cấp cơ sở hạ tầng CNTT để đánh rơi một cửa hậu liên tục có tên là Supernova trên các hệ thống mục tiêu bằng cách lợi dụng xác thực bỏ qua lỗ hổng trong API Orion để thực thi các lệnh tùy ý.
SolarWinds ban hành một bản vá để giải quyết lỗ hổng bảo mật vào ngày 26 tháng 12 năm 2020.
Tuần trước, Brandon Wales, quyền giám đốc Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), nói gần 30% khu vực tư nhân và các cơ quan chính phủ có liên quan đến chiến dịch xâm nhập không có kết nối trực tiếp với SolarWinds, ngụ ý rằng những kẻ tấn công đã sử dụng nhiều cách khác nhau để vi phạm môi trường mục tiêu.
Mặc dù vậy, sự chồng chéo trong các nỗ lực gián điệp song sinh, các chiến dịch vẫn là một dấu hiệu khác cho thấy các nhóm đe dọa dai dẳng nâng cao (APT) đang ngày càng tập trung vào chuỗi cung ứng phần mềm như một ống dẫn để tấn công các mục tiêu có giá trị cao như các tập đoàn và cơ quan chính phủ.
Sự tin tưởng và phổ biến của phần mềm như của SolarWinds hoặc Microsoft khiến chúng trở thành mục tiêu béo bở cho những kẻ tấn công, do đó nhấn mạnh sự cần thiết của các tổ chức phải đề phòng các mối nguy hiểm tiềm ẩn bắt nguồn từ việc dựa vào các công cụ của bên thứ ba để quản lý nền tảng và dịch vụ của họ.
