Vulnerabilidad en API de SolarWinds permite la instalación de Webshell Troyano

La API de SolarWinds Orion es vulnerable a una evasión de autenticación que podría permitir que un atacante remoto ejecute comandos que puede resultar en un compromiso de la instancia de SolarWinds.

SolarWinds Orion Platform es un conjunto de productos de gestión y supervisión de sistemas e infraestructuras. La vulnerabilidad con identificador CVE-2020-10148, se logra explotar ya que se puede incluir parámetros específicos en la parte Request.PathInfo de una solicitud de URI, lo que podría permitir que un atacante ejecute comandos de API no autenticados.

En los últimos días, se hizo público un malware, ahora denominado SUPERNOVA. SUPERNOVA es un malware que se coloca por separado en un servidor que requiere acceso no autorizado a la red de un cliente y está diseñado para parecer parte de un producto SolarWinds.
El malware SUPERNOVA constaba de dos componentes. El primero fue un webshell .dll malicioso y sin firmar «app_web_logoimagehandler.ashx.b6031896.dll» escrito específicamente para ser utilizado en la plataforma SolarWinds Orion. El segundo es la utilización de una vulnerabilidad en la plataforma Orion para permitir la implementación del código malicioso. Esta vulnerabilidad en la plataforma Orion se ha resuelto en las últimas actualizaciones.

Según el Aviso de Seguridad de SolarWinds, los usuarios deben realizar las siguientes actualizaciones de manera inmediata:

  • 2019.4 HF 6 (lanzado el 14 de diciembre de 2020)
  • 2020.2.1 HF 2 (lanzado el 15 de diciembre de 2020)
  • Parche 2019.2 SUPERNOVA (lanzado el 23 de diciembre de 2020)
  • Parche 2018.4 SUPERNOVA (lanzado el 23 de diciembre de 2020)
  • Parche 2018.2 SUPERNOVA (lanzado el 23 de diciembre de 2020)

En los casos en que no se pueden instalar actualizaciones, se recomienda que los usuarios implementen las mitigaciones indicadas en la publicación del CERT de Carnegie Mellon University.

Más información:

  • https://www.solarwinds.com/securityadvisory#anchor2
  • https://www.kb.cert.org/vuls/id/843464
  • https://unaaldia.hispasec.com/2020/12/nueva-vulnerabildad-en-solarwinds-permite-la-instalacion-de-malware.html
  • https://labs.sentinelone.com/solarwinds-understanding-detecting-the-supernova-webshell-trojan/