您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
攻擊者可能已將SolarWinds Orion軟件中的一個身份驗證繞過漏洞作為0-day漏洞,在目標環境中部署SuperNova惡意軟件。
根據美國CERT/CC 12月26日發布的一則安全公告,用于與所有其他Orion系統監控和管理產品連接的SolarWinds Orion API存在一個安全漏洞(CVE-2020-10148),遠程攻擊者可利用該漏洞執行未經身份驗證的API命令,從而入侵SolarWinds實例。
該公告指出,通過在發給該API的URI的Request.PathInfo部分包含特定的參數,可繞過該API的身份驗證。
特別是,如果攻擊者將‘WebResource.adx’,‘ScriptResource.adx’,‘i18n.ashx’或‘Skipi18n’的PathInfo參數附加到發給SolarWinds Orion服務器的請求,SolarWinds會設置SkipAuthorization標識,這可能會導致在不需要身份驗證的情況下處理該API請求。
SolarWinds 12月24日更新了此前的安全公告,指出攻擊者可通過利用Orion Platform中的一個漏洞部署惡意軟件。但是該漏洞的詳細信息仍未完全披露。
上周,Microsoft披露了第二個威脅行為者,該威脅行為者可能已經濫用SolarWinds Orion軟件在目標系統上投遞另一個惡意軟件SuperNova。
這同樣得到了Palo Alto Networks Unit 42威脅情報團隊和GuidePoint Security公司的證實。這兩家安全公司都將它描述為一個.NET web shell,通過修改SolarWinds Orion應用程序的“app_web_logoimagehandler.ashx.b6031896.dll”模塊而實現。
雖然該DLL的合法用途,是將用戶配置的logo圖像通過一個HTTP API返回給Orion web應用程序的其他組件,但是該惡意軟件允許它接收來自受攻擊者控制的服務器的遠程命令,并在該服務器用戶的上下文中在內存執行命令。
Unit 42團隊的研究人員指出,SuperNova新穎而強大,因為其在內存中執行,以及其參數和執行的復雜性,和通過.NET runtime實現完整編程API的靈活性。
SuperNova web shell據說是由一個不明身份的第三方行為者投遞的,不同于SunBurst行為者(UNC2452),因為不像SunBurst DLL,前述DLL未經數字簽名。
政府機構和網絡安全專家正在努力了解該攻擊的全部后果,并將可能席卷1.8萬名SolarWinds客戶的全球入侵行動拼湊起來。
發現SunBrust植入軟件的第一個公司FireEye,在一篇分析文章中表示,一旦實現了合法的遠程訪問,該間諜行動的幕后行為者通常會移除他們的工具,包括后門。這意味著高度的技術成熟度和對行動安全的關注。
ReversingLabs和Microsoft發現的證據顯示,早在2019年10月,用于攻擊SolarWinds的關鍵構建代碼塊就已經就位,當時攻擊者添加了一個帶有無害修改的常規軟件更新,以與原始代碼融合,隨后進行了惡意修改,使其能夠對SolarWinds客戶發動進一步的攻擊和竊取數據。
當前廠商提供的SolarWinds Orion Platform相關版本的更新包括:
2019.4 HF 6(2020年12月14日發布)
2020.2.1 HF 2(2020年12月15日發布)
2019.2 SUPERNOVA Patch(2020年12月23日發布)
2018.4 SUPERNOVA Patch(2020年12月23日發布)
2018.2 SUPERNOVA Patch(2020年12月23日發布)
升級到2020.2.1 HF 2版本或2019.4 HF 6版本的客戶已經修復了SunBurst和SuperNova漏洞,無需采取進一步措施。
關于“黑客利用一個新的SolarWinds漏洞安裝SuperNova惡意軟件的示例分析”這篇文章就分享到這里了,希望以上內容可以對大家有一定的幫助,使各位可以學到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。