Компания SolarWinds устранила еще один бэкдор из платформы Orion

[Artifact]

Пользователям рекомендуется как можно скорее обновить платформу, чтобы защититься от атак не только через SUNBURST, но и через SUPERNOVA.

Компания SolarWinds опубликовала обновленное уведомление безопасности о дополнительном вредоносном ПО SUPERNOVA, распространяющемся через ее платформу для управления IT-ресурсами Orion.
Как стало известно ранее в текущем месяце, SolarWinds подверглась кибератаке, в результате которой злоумышленники внедрили в легитимный DLL-файл SolarWinds.Orion.Core.BusinessLayer.dll бэкдор SUNBURST. Этот бэкдор затем распространился среди клиентов SolarWinds с помощью функции автоматического обновления в рамках атаки на цепочку поставок.
В ходе анализа взлома SolarWinds специалисты Palo Alto Unit 42 и Microsoft обнаружили еще один вредонос, получивший название SUPERNOVA и распространяющийся через модифицированный DLL-файл App_Web_logoimagehandler.ashx.b6031896.dll. Бэкдор позволял хакерам удаленно отправлять на зараженную систему код на C#, а затем компилировал и выполнял этот код.
На прошлой неделе компания SolarWinds выпустила обновленное уведомление безопасности, добавив в него информацию о SUPERNOVA и о том, как вредонос распространялся через платформу Orion.
«Вредоносное ПО SUPERNOVA состояло из двух компонентов. Первым была вредоносная, неподписанная библиотека .dll web-оболочки “app_web_logoimagehandler.ashx.b6031896.dll”, специально написанная для использования на платформе SolarWinds Orion. Второй – это эксплоит для уязвимости в платформе Orion, предназначенный для развертывания вредоносного кода. Уязвимость в платформе Orion устранена в последних обновлениях», – сообщается в обновленном уведомлении.
Пользователям Orion настоятельно рекомендуется как можно скорее обновить платформу до последних версий, чтобы защититься от атак с использованием не только SUNBURST, но и SUPERNOVA. В настоящее время обновления включают следующие версии и исправления:

• 2019.4 HF 6 (выпущено 14 декабря 2020 года);
  


• 2020.2.1 HF 2 (выпущено 15 декабря 2020 года);
  


• 2019.2 SUPERNOVA Patch (выпущено 23 декабря 2020 года);
  


• 2018.4 SUPERNOVA Patch (выпущено 23 декабря 2020 года);
  


• 2018.2 SUPERNOVA Patch (выпущено 23 декабря 2020 года).

От пользователей, обновивших платформу до версий 2020.2.1 HF 2 и 2019.4 HF 6, никаких действий не требуется, так как они уже защищены от SUNBURST и SUPERNOVA.