Une vulnérabilité de contournement d’authentification dans le logiciel SolarWinds Orion a peut-être été exploitée par des adversaires pour déployer le malware SUPERNOVA dans les environnements cibles.
Selon un consultatif publié hier par le CERT Coordination Center, l’API SolarWinds Orion utilisée pour s’interfacer avec tous les autres produits de surveillance et de gestion du système Orion souffre d’une faille de sécurité qui pourrait permettre à un attaquant distant d’exécuter des commandes API non authentifiées, entraînant ainsi une compromission des SolarWinds exemple.
« L’authentification de l’API peut être contournée en incluant des paramètres spécifiques dans le Request.PathInfo partie d’une demande d’URI à l’API, qui pourrait permettre à un attaquant d’exécuter des commandes d’API non authentifiées », déclare l’avis.
« En particulier, si un attaquant ajoute un paramètre PathInfo de ‘WebResource.adx,’ ‘ScriptResource.adx,’ ‘i18n.ashx’ ou ‘Skipi18n’ à une requête adressée à un serveur SolarWinds Orion, SolarWinds peut définir le SkipAuthorization drapeau, qui peut permettre à la demande d’API d’être traitée sans nécessiter d’authentification. «
SolarWinds, dans une mise à jour de son avis de sécurité le 24 décembre, avait déclaré qu’un logiciel malveillant pouvait être déployé via l’exploitation d’une vulnérabilité dans la plate-forme Orion. Mais les détails exacts de la faille sont restés peu clairs jusqu’à présent.
Au cours de la semaine dernière, Microsoft a révélé qu’un deuxième acteur de la menace pourrait avoir abusé du logiciel Orion de SolarWinds pour déposer un autre logiciel malveillant appelé SUPERNOVA sur les systèmes cibles.
Il a également été corroboré par les sociétés de cybersécurité Palo Alto Networks ‘ Unité 42 équipe de renseignement sur les menaces et Sécurité GuidePoint, qui l’ont tous deux décrit comme un shell Web .NET implémenté en modifiant un module « app_web_logoimagehandler.ashx.b6031896.dll » de l’application SolarWinds Orion.
Alors que le but légitime de la DLL est de renvoyer l’image du logo configurée par un utilisateur à d’autres composants de l’application Web Orion via une API HTTP, les ajouts malveillants lui permettent de recevoir des commandes à distance d’un serveur contrôlé par un attaquant et de les exécuter dans mémoire dans le contexte de l’utilisateur du serveur.
« SUPERNOVA est nouveau et puissant en raison de son exécution en mémoire, de la sophistication de ses paramètres, de son exécution et de sa flexibilité grâce à l’implémentation d’une API programmatique complète au runtime .NET », ont noté les chercheurs de l’Unité 42.
Le shell web SUPERNOVA est dit avoir été abandonné par un tiers non identifié différent des acteurs SUNBURST (suivi comme « UNC2452 ») car la DLL susmentionnée n’est pas signée numériquement, contrairement à la DLL SUNBURST.
Le développement intervient alors que les agences gouvernementales et les experts en cybersécurité s’efforcent de comprendre toutes les conséquences du piratage et de reconstituer la campagne d’intrusion mondiale qui a potentiellement piégé 18000 clients de SolarWinds.
FireEye, qui a été la première entreprise à découvrir l’implant SUNBURST, m’a dit dans une analyse selon laquelle les acteurs derrière l’opération d’espionnage ont systématiquement retiré leurs outils, y compris les portes dérobées, une fois que l’accès à distance légitime a été obtenu – ce qui implique un haut degré de sophistication technique et une attention à la sécurité opérationnelle.
Des preuves découvertes par ReversingLabs et Microsoft avaient révélé que les éléments de base clés du piratage SolarWinds avaient été mis en place dès octobre 2019 lorsque les attaquants avaient introduit une mise à jour logicielle de routine avec des modifications inoffensives pour se fondre dans le code d’origine et ont ensuite apporté des modifications malveillantes qui ont permis de lancer de nouvelles attaques contre ses clients et de voler des données.
Pour remédier à la vulnérabilité de contournement d’authentification, il est recommandé aux utilisateurs de mettre à jour les versions appropriées de la plate-forme SolarWinds Orion:
- 2019.4 HF 6 (publié le 14 décembre 2020)
- 2020.2.1 HF 2 (publié le 15 décembre 2020)
- Patch 2019.2 SUPERNOVA (publié le 23 décembre 2020)
- Patch 2018.4 SUPERNOVA (publié le 23 décembre 2020)
- Patch 2018.2 SUPERNOVA (publié le 23 décembre 2020)
Pour les clients qui ont déjà mis à niveau vers les versions 2020.2.1 HF 2 ou 2019.4 HF 6, il convient de noter que les vulnérabilités SUNBURST et SUPERNOVA ont été corrigées et qu’aucune autre action n’est requise.