Бэкдор SUPERNOVA был внедрен в SolarWinds Orion через уязвимость нулевого дня

Бэкдор SUPERNOVA был внедрен в SolarWinds Orion через уязвимость нулевого дня

Alexander Antipov

Уязвимость CVE-2020-10148 затрагивает SolarWinds Orion API и позволяет выполнять неавторизованные команды API.

image

Согласно новому уведомлению Координационного центра US-CERT, для развертывания бэкдора SUPERNOVA в платформе SolarWinds Orion хакеры воспользовались уязвимостью нулевого дня. Уязвимость CVE-2020-10148 затрагивает SolarWinds Orion API и позволяет злоумышленникам выполнять неавторизованные команды API и тем самым скомпрометировать установки SolarWinds.

«Процесс аутентификации API можно обойти путем включения особых параметров в часть Request.PathInfo URI-запроса к API, что позволит атакующему выполнять неавторизованные команды API. В частности, если атакующий добавит в запрос серверу SolarWinds Orion параметр PathInfo ‘WebResource.adx’, ‘ScriptResource.adx’, ‘i18n.ashx’ или ‘Skipi18n’, SolarWinds может установить флаг SkipAuthorization, благодаря которому запросы API могут обрабатываться без обязательной аутентификации», — говорится в уведомлении.

Компания SolarWinds также обновила свое уведомление безопасности, сообщив , что через неизвестную уязвимость злоумышленники внедрили в платформу Orion бэкдор SUPERNOVA. Тем не менее, подробности об уязвимости компания не представила.

Как ранее сообщал SecurityLab, помимо нашумевшего бэкдора SUNBURST в платформе Orion был обнаружен еще один бэкдор SUPERNOVA, внедренный другой киберпреступной группировкой. Вредонос представляет собой web-оболочку .NET, внедренную путем модифицирования модуля app_web_logoimagehandler.ashx.b6031896.dll в приложении Orion.

Подписывайтесь на каналы «SecurityLab» в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Источник: Securitylab