黑客可能已利用SolarWinds Orion软件中的身份验证绕过漏洞,在目标环境中部署SUPERNOVA恶意软件。
CERT协调中心发布的咨询报告表示,用于与所有其他Orion系统监视和管理产品接口的SolarWinds Orion API存在安全漏洞(CVE-2020-10148),该漏洞可能允许黑客执行未经身份验证的攻击API命令,从而导致SolarWinds实例的妥协。
SolarWinds在12月24日发布的安全公告表示,黑客可通过利用Orion Platform中的漏洞来部署恶意软件。但到目前为止,我们仍不清楚相关漏洞的细节。
在过去的一周中,Microsoft透露黑客可能正在滥用SolarWinds的Orion软件,在目标系统上投放另一种名为SUPERNOVA的恶意软件。
*** 安全公司Palo Alto Networks的Unit 42威胁情报小组和GuidePoint Security也证实了这一点,他们都将其描述为.NET Web Shell:一种通过修改SolarWinds Orion应用程序的“ app_web_logoimagehandler.ashx.b6031896.dll”模块。
虽然DLL的目的是通过HTTP API将用户配置的图像返回到Orion Web应用程序的其他组件,但恶意添加使它可以从被控制的服务器接收远程命令并在服务器用户上下文中的内存执行命令。
Unit 42研究人员指出:“SUPERNOVA的新颖之处在于:在内存中执行、其参数存在极强的复杂性、.NET运行时实施完整的编程API存在极强的灵活性。”
*** 机构和 *** 安全专家正在努力挽救此次黑客攻击的后果,并汇总全球入侵活动。
为了修复身份验证绕过漏洞,安全专家建议用户将SolarWinds Orion Platform更新至最新版本:
消息及封面来源:The Hacker News,译者:江。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...
就在英国警方逮捕了 7 名嫌疑犯之后,近期非常猖獗的黑客组织 Lapsus$ 又有了新动作。在攻击微软、三星、NVIDIA 和 Okta 等公司之后,该组织再次宣布成功攻陷 Globant,后者是一家位于卢森堡的软件开发咨询公司。 在周三宣布自己“度假归来”之后,该组织在其 Telegram 频道...
一个由多个全球执法机构组成的联盟–包括FBI、特勤局、英国国家犯罪署、欧洲刑警组织和其他机构–最近领导了一次行动,以查封RaidForums拥有的网络域名。RaidForums.com通常被描述为世界上最大的黑客论坛之一,它承载着一个留言板系统,恶意方可以在这里购买、出售和交易来自重大漏洞的黑客和...
有使用LastPass的用户报告说,有多人试图使用正确的主密码从不同地点登录,表明该公司可能存在数据泄露。Hacker News论坛的多名用户报告称他们的LastPass的主密码似乎被泄露了。 目前还不知道这些密码是如何泄露的,但在用户中已经出现了一种类似的情形。 大多数报告似乎来自拥有过时的Las...
一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件...
在美国遭受多次利用开源软件漏洞的攻击后,包括苹果在内的科技公司高管将于周四参加白宫的网络安全会议。1月13日星期四的会议是由于发现了开源Log4j软件的漏洞而专门召开的,该软件在国际上被用于应用程序的数据记录。 白宫国家安全顾问杰克-沙利文在12月写信给大科技公司的首席执行官,说这种开源软件是一个”...