Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Ejecución remota de comandos en la API de SolarWinds Orion

Fecha de publicación 28/12/2020
Importancia
5 - Crítica
Recursos Afectados

Todas las versiones anteriores a:

  • 2019.4 HF 6 (publicada el 14 de diciembre de 2020);
  • 2020.2.1 HF 2 (publicada el 15 de diciembre de 2020);
  • 2019.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
  • 2018.4 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
  • 2018.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020).
Descripción

Se ha identificado una vulnerabilidad en la plataforma SolarWinds Orion que permite evadir la autenticación de la API incluida en el producto y facilita a un atacante la ejecución remota de comandos. Esta vulnerabilidad ha sido utilizada por el malware conocido como SUPERNOVA.

Este es un problema de seguridad diferente del identificado anteriormente a través de la cadena de suministro en la campaña de explotación contra SolarWinds Orion y que utilizaba la backdoor conocida como SUNBURST.

Solución

Se recomienda actualizar a las siguientes versiones:

  • 2019.4 HF 6 (publicada el 14 de diciembre de 2020);
  • 2020.2.1 HF 2 (publicada el 15 de diciembre de 2020);
  • 2019.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
  • 2018.4 SUPERNOVA Patch (publicada el 23 de diciembre de 2020);
  • 2018.2 SUPERNOVA Patch (publicada el 23 de diciembre de 2020).
Detalle

Se ha identificado una vulnerabilidad que permite evadir la autenticación de la API incluida en la plataforma SolarWinds Orion. La vulnerabilidad se produce al incluir parámetros específicos en una solicitud URI dentro de Request.PathInfo, permitiendo a un atacante ejecutar comandos de API no autenticados, al obtener la flag SkipAuthorization del servidor SolarWinds Orion. Se ha asignado el identificador CVE-2020-10148 a esta vulnerabilidad.

Encuesta valoración