Descripción
La empresa SolarWinds ha publicado nuevas actualizaciones para solucionar las vulnerabilidades aprovechadas por la puerta trasera (Backdoor) “SuperNova” perteneciente a otro grupo malicioso identificado mientras se realizaban las investigaciones al ataque de suministro de SolarWinds Orion.
Supernova consta de dos componentes principales para permitir la implementación del código malicioso, una “.dll web Shell” sin firmar y una actualización de la plataforma SolarWinds vulnerable.
SuperNova, es una versión corrupta de la biblioteca .NET legitima “ app_web_logoimagehandler.ashx.
Los atacantes han construido una API .NET incrustada en un binario del sistema Orion, en el cual, los usuarios tienen privilegios con gran visión dentro de la red, permitiendo configurar el sistema Orion y otros sistemas locales de Windows expuestos por “.NET SDK” de forma arbitraria con código malicioso programado en C#, facilitando de esta manera el movimiento lateral dentro de la organización.
Cabe mencionar, que SuperNova es novedoso debido a su ejecución en memoria, sofisticación en sus parámetros y ejecución, y su capacidad de implementar una API completa en el tiempo de ejecución de .NET.
Los expertos exhortan a las organizaciones a aplicar las actualizaciones a la brevedad posible, ya que muchas organizaciones que se han visto afectadas y han encontrado rastros de este código malicioso dentro de su red.
Nivel de riesgo
- Alto
Sistemas/tecnologías afectadas:
- SolarWinds Orion 2019.4 a 2020.2.1
Medidas de erradicaión
- Aplicar las actualizaciones de seguridad publicadas por SolarWinds a los productos afectados, publicadas en https://www.solarwinds.com/
securityadvisory
Referencias