Una nueva vulnerabilidad en SolarWinds pudo permitir a los hackers instalar el malware SUPERNOVA.
De acuerdo a la publicación del CERT, el API de SolarWinds Orion, utilizado para interactuar con todos los productos de monitorización Orion, sufre de una vulnerabilidad, con CVE-2020-10148, que permitiría a un atacante no autenticado la ejecución de comandos, que como consecuencia tendría el compromiso de esa instancia de SolarWinds.
El sistema de autenticación de la API puede ser evadido añadiendo un parámetro concreto, ‘Request.PathInfo’, a ciertos endpoints no sensibles, relacionados con la descarga de recursos necesarios para la aplicación web: WebResource.adx, ScriptResource.adx, i18n.ashx, or Skipi18n.
Cabe mencionar que el aviso de seguridad actualizado de SolarWinds el 24 de diciembre, tomó nota de una vulnerabilidad no especificada en la plataforma Orion que podría explotarse para implementar software malicioso como SUPERNOVA, pero los detalles exactos de la falla no estaban claros hasta ahora.
Aunque no existe aún información detallada sobre la vulnerabilidad, se sospecha que bajo determinadas circunstancias, al añadir el mencionado parámetro ‘PathInfo’ a uno de estos endpoints, la aplicación desactiva el requisito de autenticación, lo que permite que las llamadas a la API se procesen sin necesidad de credenciales.
También fue corroborado por el equipo de inteligencia de amenazas de la Unidad 42 de las compañías de seguridad Palo Alto Networks y GuidePoint Security, quienes lo describieron como un shell web .NET implementado mediante la modificación de un módulo «app_web_logoimagehandler.ashx.b6031896.dll» de la aplicación SolarWindos Orion.
Por su parte, SolarWinds ya dispone de una actualización que corrige el fallo, y recomienda su despliegue. Asimismo, se indica que el malware Supernova, una Webshell utilizada para la ejecución de código en los servidores expuestos, no está relacionado con el ataque a la cadena de suministro del que tanto se ha hablado recientemente.