Ejecución remota de comandos en la API de SolarWinds Orion
Todas las versiones anteriores a:
- 2019.4 HF 6 (publicada el 14 de diciembre de 2020);
- 2020.2.1 HF 2 (publicada el 15 de diciembre de 2020);
- 2019.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
- 2018.4 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
- 2018.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020).
Se ha identificado una vulnerabilidad en la plataforma SolarWinds Orion que permite evadir la autenticación de la API incluida en el producto y facilita a un atacante la ejecución remota de comandos. Esta vulnerabilidad ha sido utilizada por el malware conocido como SUPERNOVA.
Este es un problema de seguridad diferente del identificado anteriormente a través de la cadena de suministro en la campaña de explotación contra SolarWinds Orion y que utilizaba la backdoor conocida como SUNBURST.
Se recomienda actualizar a las siguientes versiones:
- 2019.4 HF 6 (publicada el 14 de diciembre de 2020);
- 2020.2.1 HF 2 (publicada el 15 de diciembre de 2020);
- 2019.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
- 2018.4 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
- 2018.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020).
Se ha identificado una vulnerabilidad que permite evadir la autenticación de la API incluida en la plataforma SolarWinds Orion. La vulnerabilidad se produce al incluir parámetros específicos en una solicitud URI dentro de Request.PathInfo, permitiendo a un atacante ejecutar comandos de API no autenticados, al obtener la flag SkipAuthorization del servidor SolarWinds Orion. Se ha asignado el identificador CVE-2020-10148 a esta vulnerabilidad.