Lỗ hổng bỏ qua xác thực trong phần mềm SolarWinds Orion có thể đã bị kẻ thù lợi dụng để triển khai phần mềm độc hại SUPERNOVA trong môi trường mục tiêu.
Theo một tham mưu được xuất bản ngày hôm qua bởi Trung tâm Điều phối CERT, API SolarWinds Orion được sử dụng để giao tiếp với tất cả các sản phẩm quản lý và giám sát hệ thống Orion khác bị lỗi bảo mật có thể cho phép kẻ tấn công từ xa thực hiện các lệnh API chưa được xác thực, do đó dẫn đến sự thỏa hiệp của SolarWinds ví dụ.
“Việc xác thực API có thể bị bỏ qua bằng cách bao gồm các tham số cụ thể trong Request.PathInfo một phần của yêu cầu URI tới API, điều này có thể cho phép kẻ tấn công thực thi các lệnh API chưa được xác thực “, lời khuyên nêu rõ.
“Cụ thể, nếu kẻ tấn công thêm tham số PathInfo của ‘WebResource.adx,’ ‘ScriptResource.adx,’ ‘i18n.ashx,’ hoặc ‘Skipi18n’ vào một yêu cầu tới máy chủ SolarWinds Orion, thì SolarWinds có thể đặt SkipAuthorization cờ, có thể cho phép xử lý yêu cầu API mà không cần xác thực. “
SolarWinds, trong bản cập nhật cố vấn an ninh vào ngày 24 tháng 12, đã tuyên bố phần mềm độc hại có thể được triển khai thông qua việc khai thác lỗ hổng trong Nền tảng Orion. Nhưng chi tiết chính xác của lỗ hổng vẫn chưa rõ ràng cho đến nay.
Trong tuần qua, Microsoft tiết lộ rằng kẻ đe dọa thứ hai có thể đã lạm dụng phần mềm Orion của SolarWinds để thả thêm một phần mềm độc hại có tên SUPERNOVA vào các hệ thống mục tiêu.
Nó cũng đã được chứng thực bởi các công ty an ninh mạng Palo Alto Networks ‘ Đơn vị 42 đội tình báo mối đe dọa và Bảo mật GuidePoint, cả hai đều mô tả nó như một trình bao web .NET được triển khai bằng cách sửa đổi mô-đun “app_web_logoimagehandler.ashx.b6031896.dll” của ứng dụng SolarWinds Orion.
Mặc dù mục đích hợp pháp của DLL là trả lại hình ảnh biểu trưng được người dùng định cấu hình cho các thành phần khác của ứng dụng web Orion thông qua API HTTP, các bổ sung độc hại cho phép nó nhận các lệnh từ xa từ máy chủ do kẻ tấn công kiểm soát và thực thi chúng trong- bộ nhớ trong ngữ cảnh của người dùng máy chủ.
“SUPERNOVA mới lạ và mạnh mẽ do khả năng thực thi trong bộ nhớ, sự tinh vi trong các tham số và khả năng thực thi và tính linh hoạt bằng cách triển khai API lập trình đầy đủ cho thời gian chạy .NET”, các nhà nghiên cứu của Unit 42 lưu ý.
Trình bao web SUPERNOVA được cho là do một bên thứ ba không xác định, khác với các tác nhân SUNBURST (được theo dõi là “UNC2452”) loại bỏ do DLL nói trên không được ký điện tử, không giống như SUNBURST DLL.
Sự phát triển diễn ra khi các cơ quan chính phủ và các chuyên gia an ninh mạng đang làm việc để hiểu toàn bộ hậu quả của vụ tấn công và ghép các chiến dịch xâm nhập toàn cầu có khả năng thu hút được 18.000 khách hàng của SolarWinds.
FireEye, công ty đầu tiên phát hiện ra mô cấy SUNBURST, nói trong một phân tích rằng các tác nhân đằng sau hoạt động gián điệp thường xuyên gỡ bỏ các công cụ của họ, bao gồm cả các cửa sau, sau khi đạt được quyền truy cập từ xa hợp pháp – ngụ ý mức độ phức tạp kỹ thuật cao và chú ý đến bảo mật hoạt động.
Bằng chứng được khai quật bởi ReversingLabs và Microsoft đã tiết lộ rằng các khối xây dựng chính cho vụ hack SolarWinds đã được đưa ra vào đầu tháng 10 năm 2019 khi những kẻ tấn công bổ sung một bản cập nhật phần mềm thông thường với các sửa đổi vô hại để trộn lẫn với mã gốc và sau đó thực hiện các thay đổi độc hại cho phép chúng khởi động các cuộc tấn công tiếp theo khách hàng của mình và để lấy cắp dữ liệu.
Để giải quyết lỗ hổng bỏ qua xác thực, người dùng nên cập nhật lên các phiên bản có liên quan của Nền tảng SolarWinds Orion:
- 2019.4 HF 6 (phát hành ngày 14 tháng 12 năm 2020)
- 2020.2.1 HF 2 (phát hành ngày 15 tháng 12 năm 2020)
- 2019.2 SUPERNOVA Patch (phát hành ngày 23 tháng 12 năm 2020)
- 2018.4 Bản vá SUPERNOVA (phát hành ngày 23 tháng 12 năm 2020)
- 2018.2 SUPERNOVA Patch (phát hành ngày 23 tháng 12 năm 2020)
Đối với những khách hàng đã nâng cấp lên phiên bản 2020.2.1 HF 2 hoặc 2019.4 HF 6, cần lưu ý rằng cả hai lỗ hổng SUNBURST và SUPERNOVA đã được giải quyết và không cần thực hiện thêm hành động nào.
