Una vulnerabilità che permette di bypassare autenticazione nel software SolarWinds Orion potrebbe essere stata sfruttata dagli avversari come zero-day per distribuire il malware SUPERNOVA negli ambienti di destinazione.
Secondo un avviso pubblicato ieri dal centro di coordinamento CERT, l’API SolarWinds Orion utilizzata per interfacciarsi con tutti gli altri prodotti di monitoraggio e gestione del sistema Orion soffre di una falla di sicurezza (CVE-2020-10148) che potrebbe consentire a un utente malintenzionato remoto di eseguire comandi API non autenticati, risultando così in un compromesso Dell’istanza SolarWinds.
“L’autenticazione delle API può essere ignorata includendo parametri specifici nella richiesta. Parte PathInfo di una richiesta URI all’API, che potrebbe consentire a un utente malintenzionato di eseguire comandi API non autenticati“, afferma l’advisory.
“In particolare, se un utente malintenzionato aggiunge un parametro PathInfo di’ WebResource.ADX, ” ScriptResource.ADX,’ ‘i18n.ashx’ o ‘Skipi18n’ per una richiesta a un server SolarWinds Orion, SolarWinds può impostare il flag SkipAuthorization, che può consentire l’elaborazione della richiesta API senza richiedere l’autenticazione.”
Vale la pena notare che la consulenza sulla sicurezza aggiornata di SolarWinds il 24 dicembre ha preso nota di una vulnerabilità non specificata nella piattaforma Orion che potrebbe essere sfruttata per distribuire software malware come SUPERNOVA. Ma i dettagli esatti del difetto sono rimasti poco chiari fino ad ora.
La scorsa settimana, Microsoft ha rivelato che un secondo attore di minacce potrebbe aver abusato del software Orion di SolarWinds per eliminare un ulteriore malware chiamato SUPERNOVA sui sistemi di destinazione.
E’ stato anche corroborato da società di sicurezza informatica Palo Alto Networks (ci sono investimenti di Vanguard, BlackRock in pratica soldi Rothschild…ecco https://fintel.io/so/us/panw/blackrock-large-cap-series-funds) ‘ unità 42 threat intelligence team e GuidePoint Security, entrambi i quali descritto come una shell Web.Net implementato modificando un “app_web_logoimagehandler.ashx.b6031896.dll ” modulo dell’applicazione SolarWinds Orion.
Mentre lo scopo legittimo della DLL è quello di restituire l’immagine del logo configurato da un utente ad altri componenti dell’applicazione Web Orion tramite un’API HTTP, le aggiunte dannose consentono di ricevere comandi remoti da un server controllato da un utente malintenzionato ed eseguirli in memoria nel contesto dell’utente del server.
“SUPERNOVA è nuovo e potente grazie alla sua esecuzione in memoria, alla raffinatezza dei suoi parametri e all’esecuzione e alla flessibilità implementando UN’API programmatica completa per il runtime.NET“, hanno osservato i ricercatori dell’unità 42.
Si dice che la shell web SUPERNOVA sia stata abbandonata da una terza parte non identificata diversa dagli attori SUNBURST (tracciati come “UNC2452”) a causa della suddetta DLL che non viene firmata digitalmente, a differenza della DLL SUNBURST.
Lo sviluppo arriva mentre le agenzie governative e gli esperti di sicurezza informatica stanno lavorando per comprendere tutte le conseguenze dell’hack e mettere insieme la campagna di intrusione globale che ha potenzialmente intrappolato 18.000 dei clienti di SolarWinds.
FireEye, che è stata la prima azienda a scoprire l’impianto SUNBURST, ha detto in un’analisi che gli attori dietro l’operazione di spionaggio di routine rimosso i loro strumenti, tra cui le backdoor, una volta che l’accesso remoto legittimo è stato raggiunto — che implica un alto grado di sofisticazione tecnica e attenzione alla sicurezza operativa.
Prove portate alla luce da ReversingLabs e Microsoft avevano rivelato che i blocchi chiave per l’hack SolarWinds sono stati messi in atto già nel mese di ottobre 2019 quando gli aggressori avevao sviluppato un aggiornamento software di routine con modifiche innocue per fondersi con il codice originale e poi fatto modifiche dannose che hanno permesso loro di lanciare ulteriori attacchi contro i propri clienti.
L’indagine continua perchè la falla SolarWinds ha creato enormi disagi e molti governi e istituzioni ad esse collegate sono state colpite ed anche in Italia.
Il Ficcanaso