Уязвимость CVE-2020-10148 затрагивает SolarWinds Orion API и позволяет выполнять неавторизованные команды API.
https://www.securitylab.ru/upload/ib...93cc153f3a.jpg
Согласно новому уведомлению Координационного центра US-CERT, для развертывания бэкдора SUPERNOVA в платформе SolarWinds Orion хакеры воспользовались уязвимостью нулевого дня. Уязвимость CVE-2020-10148 затрагивает SolarWinds Orion API и позволяет злоумышленникам выполнять неавторизованные команды API и тем самым скомпрометировать установки SolarWinds.
«Процесс аутентификации API можно обойти путем включения особых параметров в часть Request.PathInfo URI-запроса к API, что позволит атакующему выполнять неавторизованные команды API. В частности, если атакующий добавит в запрос серверу SolarWinds Orion параметр PathInfo 'WebResource.adx', 'ScriptResource.adx', 'i18n.ashx' или 'Skipi18n', SolarWinds может установить флаг SkipAuthorization, благодаря которому запросы API могут обрабатываться без обязательной аутентификации», - говорится в уведомлении.
Компания SolarWinds также обновила свое уведомление безопасности, сообщив , что через неизвестную уязвимость злоумышленники внедрили в платформу Orion бэкдор SUPERNOVA. Тем не менее, подробности об уязвимости компания не представила.
Как ранее сообщал SecurityLab, помимо нашумевшего бэкдора SUNBURST в платформе Orion был обнаружен еще один бэкдор SUPERNOVA, внедренный другой киберпреступной группировкой. Вредонос представляет собой web-оболочку .NET, внедренную путем модифицирования модуля app_web_logoimagehandler.ashx.b6031896.dll в приложении Orion.