黑客利用一个新的SolarWinds漏洞安装SuperNova恶意软件的示例分析

这篇文章将为大家详细讲解有关黑客利用一个新的SolarWinds漏洞安装SuperNova恶意软件的示例分析，小编觉得挺实用的，因此分享给大家做个参考，希望大家阅读完这篇文章后可以有所收获。

攻击者可能已将SolarWinds Orion软件中的一个身份验证绕过漏洞作为0-day漏洞，在目标环境中部署SuperNova恶意软件。

根据美国CERT/CC 12月26日发布的一则安全公告，用于与所有其他Orion系统监控和管理产品连接的SolarWinds Orion API存在一个安全漏洞（CVE-2020-10148），远程攻击者可利用该漏洞执行未经身份验证的API命令，从而入侵SolarWinds实例。

该公告指出，通过在发给该API的URI的Request.PathInfo部分包含特定的参数，可绕过该API的身份验证。

特别是，如果攻击者将'WebResource.adx'，'ScriptResource.adx'，'i18n.ashx'或'Skipi18n'的PathInfo参数附加到发给SolarWinds Orion服务器的请求，SolarWinds会设置SkipAuthorization标识，这可能会导致在不需要身份验证的情况下处理该API请求。

SolarWinds 12月24日更新了此前的安全公告，指出攻击者可通过利用Orion Platform中的一个漏洞部署恶意软件。但是该漏洞的详细信息仍未完全披露。

上周，Microsoft披露了第二个威胁行为者，该威胁行为者可能已经滥用SolarWinds Orion软件在目标系统上投递另一个恶意软件SuperNova。

这同样得到了Palo Alto Networks Unit 42威胁情报团队和GuidePoint Security公司的证实。这两家安全公司都将它描述为一个.NET web shell，通过修改SolarWinds Orion应用程序的"app_web_logoimagehandler.ashx.b6031896.dll"模块而实现。

虽然该DLL的合法用途，是将用户配置的logo图像通过一个HTTP API返回给Orion web应用程序的其他组件，但是该恶意软件允许它接收来自受攻击者控制的服务器的远程命令，并在该服务器用户的上下文中在内存执行命令。

Unit 42团队的研究人员指出，SuperNova新颖而强大，因为其在内存中执行，以及其参数和执行的复杂性，和通过.NET runtime实现完整编程API的灵活性。

SuperNova web shell据说是由一个不明身份的第三方行为者投递的，不同于SunBurst行为者（UNC2452），因为不像SunBurst DLL，前述DLL未经数字签名。

政府机构和网络安全专家正在努力了解该攻击的全部后果，并将可能席卷1.8万名SolarWinds客户的全球入侵行动拼凑起来。

发现SunBrust植入软件的第一个公司FireEye，在一篇分析文章中表示，一旦实现了合法的远程访问，该间谍行动的幕后行为者通常会移除他们的工具，包括后门。这意味着高度的技术成熟度和对行动安全的关注。

ReversingLabs和Microsoft发现的证据显示，早在2019年10月，用于攻击SolarWinds的关键构建代码块就已经就位，当时攻击者添加了一个带有无害修改的常规软件更新，以与原始代码融合，随后进行了恶意修改，使其能够对SolarWinds客户发动进一步的攻击和窃取数据。

当前厂商提供的SolarWinds Orion Platform相关版本的更新包括：

2019.4 HF 6（2020年12月14日发布）

2020.2.1 HF 2（2020年12月15日发布）

2019.2 SUPERNOVA Patch（2020年12月23日发布）

2018.4 SUPERNOVA Patch（2020年12月23日发布）

2018.2 SUPERNOVA Patch（2020年12月23日发布）

升级到2020.2.1 HF 2版本或2019.4 HF 6版本的客户已经修复了SunBurst和SuperNova漏洞，无需采取进一步措施。

关于"黑客利用一个新的SolarWinds漏洞安装SuperNova恶意软件的示例分析"这篇文章就分享到这里了，希望以上内容可以对大家有一定的帮助，使各位可以学到更多知识，如果觉得文章不错，请把它分享出去让更多的人看到。