-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### ######################## UPDATE 1.01 ############################# Titel : Actief misbruikte kwetsbaarheid verholpen in SolarWinds Orion Advisory ID : NCSC-2020-1053 Versie : 1.01 Kans : high CVE ID : CVE-2020-10148 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: http://cve.mitre.org/cve/) Schade : high Omzeilen van authenticatie Uitgiftedatum : 20201228 Toepassing : Solarwinds IP Address Manager (IPAM) Solarwinds Log Analyzer (LA) Solarwinds NetFlow Traffic Analyzer (NTA) Solarwinds Network Configuration Manager (NCM) Solarwinds Network Performance Monitor (NPM) Solarwinds Orion Core Services Solarwinds Orion Network Atlas Solarwinds Orion Network Performance Monitor Solarwinds Server & Application Monitor (SAM) Solarwinds Server Configuration Monitor (SCM) Solarwinds Storage Resource Monitor (SRM) Solarwinds User Device Tracker (UDT) Solarwinds Virtualization Manager (VMAN) Solarwinds VoIP & Network Quality Manager (VNQM) Solarwinds Web Performance Monitor (WPM) Versie(s) : Orion Platform < 2019.4 HF6 Orion Platform < 2020.2.1 HF2 Platform(s) : Update Er is inmiddels Proof-of-Concept-code verschenen die de kwetsbaarheid misbruikt. Hierdoor wordt de inschaling verhoogd naar H/H. Beschrijving SolarWinds heeft een kwetsbaarheid verholpen in het Orion Platform. Een kwaadwillende kan deze kwetsbaarheid misbruiken voor het omzeilen van authenticatie binnen de Orion API. Vervolgens kan de API worden gebruikt voor het compromitteren van de Orion-installatie of onderliggende besturingssysteem. De kwetsbaarheid wordt actief misbruikt voor het installeren van een backdoor op kwetsbare Orion-installaties. De kwaadwillenden die deze backdoor installeren proberen de aanwezigheid ervan te verhullen door deze in een door Orion gebruikte library te plaatsen. Deze library wordt normaliter alleen gebruikt voor het opvragen van afbeeldingen. De backdoor bestaat uit een webshell welke op afstand kan worden aangeroepen. Door bepaalde HTTP-requests naar deze webshell te versturen, kan een kwaadwillende onder verhoogde rechten code uitvoeren op het kwetsbare systeem. Het is vooralsnog onbekend of er een verband is tussen deze webshell en de eerder gevonden trojan in het Orion Platform (voor meer informatie over laatstgenoemde, zie NCSC-2020-1021). Mogelijke oplossingen SolarWinds heeft updates uitgebracht om de kwetsbaarheid te verhelpen in Orion Platform 2019.4 HF6 en 2020.2.1 HF2. Voor meer informatie, zie: https://www.solarwinds.com/securityadvisory/faq Voor meer informatie over de technische achtergrond van deze kwetsbaarheid, de uitbuiting ervan en mogelijke Indicators of Compromise (IoC), zie: https://unit42.paloaltonetworks.com/solarstorm-supernova/ https://www.guidepointsecurity.com /supernova-solarwinds-net-webshell-analysis/ Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBX+nw60/4qUtG/lqjAQrc1Qv+N2Zv033rhjjyCqzhik/19EGaA/6XFD6W V/lfWDmNmAKLfxPAmmQE1kpNjepu9X0roCLVp5dtVmG791uJEPH/gKHCYnBaGMso zZ2HJuKPotTsiBkk1O08f5O3kXjWM4WXBZz5C3v3PdzEmlT0svASEW5XV/qab7// VCT8v5Y/YmHCNW9sQxunJp43R7KdDRf0TA9p+3lC50xCfbfSw1tPKHRj6MxNF30d tQXAXVfK1TMfqotTqaUyLLIQYHp4DoQie64p1ue/cZGMIHu4pZWqpGJUrk5Mtl8V PrG70q9VpiY+BgSmjNq1Ewl7x9BgbAQOuSsDdyUgkZ36DkWkcumx99x6Cr5mi/CR 0ewkSpjJDZUgquGbT8I8XJEr262TAVpIVn1Y5+VlIv7JpbQcihz5Y23uJcIfvD7/ /kgDojyfUgPKMuWcOPkDJqXQtPasMDwVLeJoioGSD2eD5H9tDgN2+X93S8IvJxLu FYjEftz1Hn11vAIADJE5MMCM+zcABaZy =DizI -----END PGP SIGNATURE-----