黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析

這篇文章將為大家詳細講解有關黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

攻擊者可能已將SolarWinds Orion軟件中的一個身份驗證繞過漏洞作為0-day漏洞，在目標環境中部署SuperNova惡意軟件。

根據美國CERT/CC 12月26日發布的一則安全公告，用于與所有其他Orion系統監控和管理產品連接的SolarWinds Orion API存在一個安全漏洞（CVE-2020-10148），遠程攻擊者可利用該漏洞執行未經身份驗證的API命令，從而入侵SolarWinds實例。

該公告指出，通過在發給該API的URI的Request.PathInfo部分包含特定的參數，可繞過該API的身份驗證。

特別是，如果攻擊者將‘WebResource.adx’，‘ScriptResource.adx’，‘i18n.ashx’或‘Skipi18n’的PathInfo參數附加到發給SolarWinds Orion服務器的請求，SolarWinds會設置SkipAuthorization標識，這可能會導致在不需要身份驗證的情況下處理該API請求。

SolarWinds 12月24日更新了此前的安全公告，指出攻擊者可通過利用Orion Platform中的一個漏洞部署惡意軟件。但是該漏洞的詳細信息仍未完全披露。

上周，Microsoft披露了第二個威脅行為者，該威脅行為者可能已經濫用SolarWinds Orion軟件在目標系統上投遞另一個惡意軟件SuperNova。

這同樣得到了Palo Alto Networks Unit 42威脅情報團隊和GuidePoint Security公司的證實。這兩家安全公司都將它描述為一個.NET web shell，通過修改SolarWinds Orion應用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模塊而實現。

雖然該DLL的合法用途，是將用戶配置的logo圖像通過一個HTTP API返回給Orion web應用程序的其他組件，但是該惡意軟件允許它接收來自受攻擊者控制的服務器的遠程命令，并在該服務器用戶的上下文中在內存執行命令。

Unit 42團隊的研究人員指出，SuperNova新穎而強大，因為其在內存中執行，以及其參數和執行的復雜性，和通過.NET runtime實現完整編程API的靈活性。

SuperNova web shell據說是由一個不明身份的第三方行為者投遞的，不同于SunBurst行為者（UNC2452），因為不像SunBurst DLL，前述DLL未經數字簽名。

政府機構和網絡安全專家正在努力了解該攻擊的全部后果，并將可能席卷1.8萬名SolarWinds客戶的全球入侵行動拼湊起來。

發現SunBrust植入軟件的第一個公司FireEye，在一篇分析文章中表示，一旦實現了合法的遠程訪問，該間諜行動的幕后行為者通常會移除他們的工具，包括后門。這意味著高度的技術成熟度和對行動安全的關注。

ReversingLabs和Microsoft發現的證據顯示，早在2019年10月，用于攻擊SolarWinds的關鍵構建代碼塊就已經就位，當時攻擊者添加了一個帶有無害修改的常規軟件更新，以與原始代碼融合，隨后進行了惡意修改，使其能夠對SolarWinds客戶發動進一步的攻擊和竊取數據。

當前廠商提供的SolarWinds Orion Platform相關版本的更新包括：

2019.4 HF 6（2020年12月14日發布）

2020.2.1 HF 2（2020年12月15日發布）

2019.2 SUPERNOVA Patch（2020年12月23日發布）

2018.4 SUPERNOVA Patch（2020年12月23日發布）

2018.2 SUPERNOVA Patch（2020年12月23日發布）

升級到2020.2.1 HF 2版本或2019.4 HF 6版本的客戶已經修復了SunBurst和SuperNova漏洞，無需采取進一步措施。

關于“黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析”這篇文章就分享到這里了，希望以上內容可以對大家有一定的幫助，使各位可以學到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。