TLP: Ambar
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las últimas actualizaciones liberadas por SolarWinds a los productos afectados.
Vector de ataque: Sistemas SolarWinds Orion.
Impacto: Filtración de información confidencial.

Descripción

La empresa SolarWinds ha publicado nuevas actualizaciones para solucionar las vulnerabilidades aprovechadas por la puerta trasera (Backdoor) “SuperNova” perteneciente a otro grupo malicioso identificado mientras se realizaban las investigaciones al ataque de suministro de SolarWinds Orion.

Supernova consta de dos componentes principales para permitir la implementación del código malicioso, una “.dll web Shell” sin firmar y una actualización de la plataforma SolarWinds vulnerable.

SuperNova, es una versión corrupta de la biblioteca .NET legitima “ app_web_logoimagehandler.ashx.b6031896.dll” incluida en el software SolarWinds Orion, esta es diferente, debido a que la clase .NET, el método, los argumentos y los datos del código se compilan y ejecutan en la memoria, sin necesidad de hacer devoluciones de llamada de red adicionales y con solo la solicitud al servidor de comando y control (C&C) inicial.

Los atacantes han construido una API .NET incrustada en un binario del sistema Orion, en el cual, los usuarios tienen privilegios con gran visión dentro de la red, permitiendo configurar el sistema Orion y otros sistemas locales de Windows expuestos por “.NET SDK” de forma arbitraria con código malicioso programado en C#, facilitando de esta manera el movimiento lateral dentro de la organización.

Cabe mencionar, que SuperNova es novedoso debido a su ejecución en memoria, sofisticación en sus parámetros y ejecución, y su capacidad de implementar una API completa en el tiempo de ejecución de .NET.

Los expertos exhortan a las organizaciones a aplicar las actualizaciones a la brevedad posible, ya que muchas organizaciones que se han visto afectadas y han encontrado rastros de este código malicioso dentro de su red.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • SolarWinds Orion 2019.4 a 2020.2.1

Medidas de erradicaión

Referencias