SolarWinds libera una actualización de seguridad para el nuevo malware SUPERNOVA

TEAM CSIRT

A principios de este mes, SolarWinds sufrió un ciberataque que permitió a los actores de amenazas modificar un archivo legítimo SolarWinds Orion «Orion.Core.BusinessLayer.dll» DLL para incluir el malware malicioso de puerta trasera SUNBURST. Luego, este archivo se distribuyó a los clientes de SolarWinds mediante una función de actualización automática en un ataque a la cadena de suministro.

Tanto Palo Alto como Microsoft informaron sobre un malware adicional llamado SUPERNOVA distribuido mediante el archivo DLL, este malware es un webshell colocado en el código de la red Orion y la plataforma de monitoreo de aplicaciones y permite a los atacantes ejecutar código arbitrario en máquinas que ejecutan la versión troyanizada del software.

«El malware SUPERNOVA constaba de dos componentes, el primero era un .dll webshell malicioso y sin firmar » app_web_logoimagehandler.ashx.b6031896.dll» escrito específicamente para ser utilizado en la plataforma SolarWinds Orion. El segundo es la utilización de una vulnerabilidad en Orion Plataforma para permitir la implementación del código malicioso. La vulnerabilidad en la plataforma Orion se ha resuelto en las últimas actualizaciones «, explica el aviso actualizado de SolarWinds.

Fuente: Palo Alto Networks

SolarWinds ha publicado un aviso actualizado para el malware SUPERNOVA y recomienda a todos los clientes de a todos los clientes de Orion Platform que actualicen a las últimas versiones para estar protegidos no solo de la vulnerabilidad SUNBURST sino también del malware SUPERNOVA.

Las actualizaciones que se ofrecen actualmente para la plataforma Orion incluyen las siguientes versiones y parches:

  • 2019.4 HF 6 (lanzado el 14 de diciembre de 2020)
  • 2020.2.1 HF 2 (lanzado el 15 de diciembre de 2020)
  • Parche 2019.2 SUPERNOVA (lanzado el 23 de diciembre de 2020)
  • Parche 2018.4 SUPERNOVA (lanzado el 23 de diciembre de 2020)
  • Parche 2018.2 SUPERNOVA (lanzado el 23 de diciembre de 2020)

Para los clientes que ya se han actualizado a las versiones 2020.2.1 HF 2 o 2019.4 HF 6, se han solucionado las vulnerabilidades de SUNBURST y SUPERNOVA y no se requieren más acciones.

Referencias: