【安全通报】SolarWinds Orion API 远程代码执行漏洞(CVE-2020-10148)

匿名者  267天前

1.png

白帽汇安全研究院检测到近期 SolarWinds 发布安全漏洞通告,在报告中指出其产品中存在一处远程代码执行漏洞。

SolarWinds Inc. 是一家美国公司,为企业提软件以帮助管理其网络,系统和信息技术基础架构。攻击者通过构造恶意URI,可以绕过API身份验证,从而利用API功能造成远程代码执行漏洞,截止目前互联网已暴露相关漏洞验证的POC,白帽汇安全研究院第一时间已经成功复现该漏洞。

2.png

漏洞概况

SolarWinds Orion API 嵌入在 Orion Core 中,被用于与所有 SolarWinds Orion Platform 产品进行接口。通过在URI请求的Request.PathInfo 部分中包含特定参数,可以绕过 API 身份验证,这可能允许攻击者执行未经身份验证的 API 命令。 如果攻击者将WebResource.adx,scriptResource.adx,i18n.ashx 或 Skipi18n 的 PathInfo 参数附加到对 SolarWinds Orion 服务器的请求,SolarWinds 可能会设置 SkipAuthorization 标志,该标志可能允许处理API请求无需身份验证。

攻击者可利用该漏洞远程执行任意代码,有专业黑客组织利用该漏洞投递代号为'SUPERNOVA'的恶意程序。

漏洞影响范围

影响版本:

  • SolarWinds Orion 2020.2.1 HF 2 及 2019.4 HF 6之前的版本

安全版本:

  • SolarWinds Orion 2019.4 HF 6(2020年12月14日发布)
  • SolarWinds Orion 2020.2.1 HF 2(发布于2020年12月15日)
  • SolarWinds Orion 2019.2 SUPERNOVA补丁(2020年12月23日发布)
  • SolarWinds Orion 2018.4 SUPERNOVA补丁(2020年12月23日发布)
  • SolarWinds Orion 2018.2 SUPERNOVA补丁(2020年12月23日发布)

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="SolarWinds-Network-Performance-Monitor")共有 1,589 个相关服务对外开放。美国使用数量最多,共有 579 个,英国第二,共有 97 个,中国第三,共有59 个,伊朗第四,共有 53 个,印度第五,共有 48 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

3.png

中国大陆地区北京使用数量最多,共有 5 个,上海第二,共有 4 个,广东、山东第三,共有3个,湖南、浙江第四,各有 2 个,福建、湖北、江苏、云南第五,各有 1 个。

4.png

CVE编号

CVE-2020-10148

漏洞POC

目前 FOFA 客户端平台已经更新 CVE-2020-10148 检测POC。

5.png

修复建议

  1. 将 SolarWinds 软件升级至安全版本。
  2. SolarWinds 为商业软件,可联系 swisupport@solarwinds.com 以获取进一步支持

参考

[1] https://www.solarwinds.com/securityadvisory

[2] https://mp.weixin.qq.com/s/nQQnw2O0JR7OqcK0YuIdXw

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

曙雀  :  请问可以分享下之前受影响的版本吗
260天前 回复
昵称
邮箱
提交评论