Компания SolarWinds устранила еще один бэкдор из платформы Orion

Компания SolarWinds устранила еще один бэкдор из платформы Orion

Пользователям рекомендуется как можно скорее обновить платформу, чтобы защититься от атак не только через SUNBURST, но и через SUPERNOVA.

image

Компания SolarWinds опубликовала обновленное уведомление безопасности о дополнительном вредоносном ПО SUPERNOVA, распространяющемся через ее платформу для управления IT-ресурсами Orion.

Как стало известно ранее в текущем месяце, SolarWinds подверглась кибератаке, в результате которой злоумышленники внедрили в легитимный DLL-файл SolarWinds.Orion.Core.BusinessLayer.dll бэкдор SUNBURST. Этот бэкдор затем распространился среди клиентов SolarWinds с помощью функции автоматического обновления в рамках атаки на цепочку поставок.

В ходе анализа взлома SolarWinds специалисты Palo Alto Unit 42 и Microsoft обнаружили еще один вредонос, получивший название SUPERNOVA и распространяющийся через модифицированный DLL-файл App_Web_logoimagehandler.ashx.b6031896.dll. Бэкдор позволял хакерам удаленно отправлять на зараженную систему код на C#, а затем компилировал и выполнял этот код.

На прошлой неделе компания SolarWinds выпустила обновленное уведомление безопасности, добавив в него информацию о SUPERNOVA и о том, как вредонос распространялся через платформу Orion.

«Вредоносное ПО SUPERNOVA состояло из двух компонентов. Первым была вредоносная, неподписанная библиотека .dll web-оболочки “app_web_logoimagehandler.ashx.b6031896.dll”, специально написанная для использования на платформе SolarWinds Orion. Второй – это эксплоит для уязвимости в платформе Orion, предназначенный для развертывания вредоносного кода. Уязвимость в платформе Orion устранена в последних обновлениях», – сообщается в обновленном уведомлении.

Пользователям Orion настоятельно рекомендуется как можно скорее обновить платформу до последних версий, чтобы защититься от атак с использованием не только SUNBURST, но и SUPERNOVA. В настоящее время обновления включают следующие версии и исправления:

  • 2019.4 HF 6 (выпущено 14 декабря 2020 года);

  • 2020.2.1 HF 2 (выпущено 15 декабря 2020 года);

  • 2019.2 SUPERNOVA Patch (выпущено 23 декабря 2020 года);

  • 2018.4 SUPERNOVA Patch (выпущено 23 декабря 2020 года);

  • 2018.2 SUPERNOVA Patch (выпущено 23 декабря 2020 года).

От пользователей, обновивших платформу до версий 2020.2.1 HF 2 и 2019.4 HF 6, никаких действий не требуется, так как они уже защищены от SUNBURST и SUPERNOVA.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.