Nueva vulnerabildad en SolarWinds permite la instalación de malware

Una nueva vulnerabilidad en el software SolarWinds Orion permite la evasión de autenticación, y ha podido ser utilizada como un 0-day para instalar el malware Supernova.

SolarWinds: Hacked firm issues urgent security fix – BBC News

De acuerdo a la publicación del CERT, el API de SolarWinds Orion, utilizado para interactuar con todos los productos de monitorización Orion, sufre de una vulnerabilidad, con CVE-2020-10148, que permitiría a un atacante no autenticado la ejecución de comandos, que como consecuencia tendría el compromiso de esa instancia de SolarWinds.

El sistema de autenticación de la API puede ser evadido añadiendo un parámetro concreto, ‘Request.PathInfo’, a ciertos endpoints no sensibles, relacionados con la descarga de recursos necesarios para la aplicación web: WebResource.adx, ScriptResource.adx, i18n.ashx, or Skipi18n.

Aunque no existe aún información detallada sobre la vulnerabilidad, se sospecha que bajo determinadas circunstancias, al añadir el mencionado parámetro ‘PathInfo’ a uno de estos endpoints, la aplicación desactiva el requisito de autenticación, lo que permite que las llamadas a la API se procesen sin necesidad de credenciales.

Por su parte, SolarWinds ya dispone de una actualización que corrige el fallo:

https://www.solarwinds.com/securityadvisory

y recomienda su despliegue. Asimismo, se indica que el malware Supernova, una Webshell utilizada para la ejecución de código en los servidores expuestos, no está relacionado con el ataque a la cadena de suministro del que tanto se ha hablado recientemente.

Ver información original al respecto en Fuente>