NCSC Advisories

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA512

   #####################################################
  ##  N C S C ~ B E V E I L I G I N G S A D V I E S  ##
 #####################################################

Titel           : Actief misbruikte kwetsbaarheid verholpen in
                  SolarWinds Orion
Advisory ID     : NCSC-2020-1053
Versie          : 1.00
Kans            : medium
CVE ID          : CVE-2020-10148
                  (Details over de kwetsbaarheden kunt u vinden op
                   de Mitre website: http://cve.mitre.org/cve/)
Schade          : high
                  Omzeilen van authenticatie
Uitgiftedatum   : 20201228
Toepassing      : Solarwinds IP Address Manager (IPAM)
                  Solarwinds Log Analyzer (LA)
                  Solarwinds NetFlow Traffic Analyzer (NTA)
                  Solarwinds Network Configuration Manager (NCM)
                  Solarwinds Network Performance Monitor (NPM)
                  Solarwinds Orion Core Services
                  Solarwinds Orion Network Atlas
                  Solarwinds Orion Network Performance Monitor
                  Solarwinds Server & Application Monitor (SAM)
                  Solarwinds Server Configuration Monitor (SCM)
                  Solarwinds Storage Resource Monitor (SRM)
                  Solarwinds User Device Tracker (UDT)
                  Solarwinds Virtualization Manager (VMAN)
                  Solarwinds VoIP & Network Quality Manager (VNQM)
                  Solarwinds Web Performance Monitor (WPM)
Versie(s)       : Orion Platform < 2019.4 HF6
                  Orion Platform < 2020.2.1 HF2
Platform(s)     :

Beschrijving
   SolarWinds heeft een kwetsbaarheid verholpen in het Orion Platform.
   Een kwaadwillende kan deze kwetsbaarheid misbruiken voor het
   omzeilen van authenticatie binnen de Orion API. Vervolgens kan de
   API worden gebruikt voor het compromitteren van de Orion-installatie
   of onderliggende besturingssysteem.

   De kwetsbaarheid wordt actief misbruikt voor het installeren van een
   backdoor op kwetsbare Orion-installaties. De kwaadwillenden die deze
   backdoor installeren proberen de aanwezigheid ervan te verhullen
   door deze in een door Orion gebruikte library te plaatsen. Deze
   library wordt normaliter alleen gebruikt voor het opvragen van
   afbeeldingen.

   De backdoor bestaat uit een webshell welke op afstand kan worden
   aangeroepen. Door bepaalde HTTP-requests naar deze webshell te
   versturen, kan een kwaadwillende onder verhoogde rechten code
   uitvoeren op het kwetsbare systeem. Het is vooralsnog onbekend of er
   een verband is tussen deze webshell en de eerder gevonden trojan in
   het Orion Platform (voor meer informatie over laatstgenoemde, zie
   NCSC-2020-1021).

Mogelijke oplossingen
   SolarWinds heeft updates uitgebracht om de kwetsbaarheid te
   verhelpen in Orion Platform 2019.4 HF6 en 2020.2.1 HF2. Voor meer
   informatie, zie:

   https://www.solarwinds.com/securityadvisory/faq

   Voor meer informatie over de technische achtergrond van deze
   kwetsbaarheid, de uitbuiting ervan en mogelijke Indicators of
   Compromise (IoC), zie:

   https://unit42.paloaltonetworks.com/solarstorm-supernova/
   https://www.guidepointsecurity.com
      /supernova-solarwinds-net-webshell-analysis/

Vrijwaringsverklaring
   Door gebruik van deze security advisory gaat u akkoord met de
   navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke
   zorg heeft betracht bij de samenstelling van dit beveiligingsadvies,
   kan het NCSC niet instaan voor de volledigheid, juistheid of
   (voortdurende) actualiteit van dit beveiligingsadvies. De informatie
   in dit beveiligingsadvies is uitsluitend bedoeld als algemene
   informatie voor professionele partijen. Aan de informatie in dit
   beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC
   en de Staat zijn niet aansprakelijk voor enige schade ten gevolge
   van het gebruik of de onmogelijkheid van het gebruik van dit
   beveiligingsadvies, waaronder begrepen schade ten gevolge van de
   onjuistheid of onvolledigheid van de informatie in dit
   beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht
   van toepassing. Alle geschillen in verband met en/of voortvloeiend
   uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief
   bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de
   voorzieningenrechter in kort geding.

-----BEGIN PGP SIGNATURE-----
Version: Encryption Desktop 10.4.2 (Build 1298)
Charset: utf-8
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=wpYe
-----END PGP SIGNATURE-----