【安全通报】SolarWinds Orion API 远程代码执行漏洞（CVE-2020-10148）

白帽汇安全研究院检测到近期 SolarWinds 发布安全漏洞通告，在报告中指出其产品中存在一处远程代码执行漏洞。

SolarWinds Inc. 是一家美国公司，为企业提软件以帮助管理其网络，系统和信息技术基础架构。攻击者通过构造恶意URI，可以绕过API身份验证，从而利用API功能造成远程代码执行漏洞，截止目前互联网已暴露相关漏洞验证的POC，白帽汇安全研究院第一时间已经成功复现该漏洞。

漏洞概况

SolarWinds Orion API 嵌入在 Orion Core 中，被用于与所有 SolarWinds Orion Platform 产品进行接口。通过在URI请求的Request.PathInfo 部分中包含特定参数，可以绕过 API 身份验证，这可能允许攻击者执行未经身份验证的 API 命令。 如果攻击者将WebResource.adx，scriptResource.adx，i18n.ashx 或 Skipi18n 的 PathInfo 参数附加到对 SolarWinds Orion 服务器的请求，SolarWinds 可能会设置 SkipAuthorization 标志，该标志可能允许处理API请求无需身份验证。

攻击者可利用该漏洞远程执行任意代码，有专业黑客组织利用该漏洞投递代号为'SUPERNOVA'的恶意程序。

漏洞影响范围

影响版本：

• SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本

安全版本：

• SolarWinds Orion 2019.4 HF 6（2020年12月14日发布）
• SolarWinds Orion 2020.2.1 HF 2（发布于2020年12月15日）
• SolarWinds Orion 2019.2 SUPERNOVA补丁（2020年12月23日发布）
• SolarWinds Orion 2018.4 SUPERNOVA补丁（2020年12月23日发布）
• SolarWinds Orion 2018.2 SUPERNOVA补丁（2020年12月23日发布）

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="SolarWinds-Network-Performance-Monitor"）共有 1,589 个相关服务对外开放。美国使用数量最多，共有 579 个，英国第二，共有 97 个，中国第三，共有59 个，伊朗第四，共有 53 个，印度第五，共有 48 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区北京使用数量最多，共有 5 个，上海第二，共有 4 个，广东、山东第三，共有3个，湖南、浙江第四，各有 2 个，福建、湖北、江苏、云南第五，各有 1 个。

CVE编号

CVE-2020-10148

漏洞POC

目前 FOFA 客户端平台已经更新 CVE-2020-10148 检测POC。

修复建议

1. 将 SolarWinds 软件升级至安全版本。
2. SolarWinds 为商业软件，可联系 swisupport@solarwinds.com 以获取进一步支持

参考

[1] https://www.solarwinds.com/securityadvisory

[2] https://mp.weixin.qq.com/s/nQQnw2O0JR7OqcK0YuIdXw

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。