Los investigadores de ciberseguridad revelaron el miércoles tres vulnerabilidades de seguridad graves que afectan a los productos de SolarWinds, la más grave de las cuales podría haberse explotado para lograr la ejecución remota de código con privilegios elevados.
Dos de las fallas (CVE-2021-25274 y CVE-2021-25275) se identificaron en la plataforma SolarWinds Orion, mientras que una tercera debilidad separada (CVE-2021-25276) se encontró en el servidor FTP Serv-U de la empresa para Windows, dijo la firma de ciberseguridad Trustwave en un análisis técnico.
Se cree que ninguna de las tres vulnerabilidades se explotó en ningún ataque «in the wild» o durante el ataque sin precedentes a la cadena de suministro dirigido a la Plataforma Orion que salió a la luz el pasado diciembre.
Los dos conjuntos de vulnerabilidades en Orion y Serv-U FTP se divulgaron a SolarWinds el 30 de diciembre de 2020 y el 4 de enero de 2021, respectivamente, luego de lo cual la empresa resolvió los problemas el 22 y el 25 de enero.
Se recomienda enfáticamente que los usuarios instalen las últimas versiones de Orion Platform y Serv-U FTP (15.2.2 Hotfix 1) para mitigar los riesgos asociados con las fallas. Trustwave dijo que tiene la intención de lanzar un código de prueba de concepto (PoC) la próxima semana, el 9 de febrero.
Control completo sobre Orion
La principal de las vulnerabilidades descubiertas por Trustwave incluye el uso indebido de Microsoft Messaging Queue (MSMQ), que es muy utilizado por SolarWinds Orion Collector Service, lo que permite a los usuarios no autenticados enviar mensajes a dichas colas a través del puerto TCP 1801 y, finalmente, alcanzar RCE al encadenarlo. con otro problema de deserialización insegura en el código que maneja los mensajes entrantes.
«Dado que el código de procesamiento de mensajes se ejecuta como un servicio de Windows configurado para usar la cuenta LocalSystem, tenemos control total del sistema operativo subyacente», dijo Martin Rakhmanov, investigador de Trust.
El parche lanzado por SolarWinds (Orion Platform 2020.2.4) soluciona el error con un paso de validación de firma digital que se realiza en los mensajes recibidos para garantizar que los mensajes sin firmar no se procesen más, pero Rakhmanov advirtió que el MSMQ aún no está autenticado y permite que cualquiera envíe mensajes a la misma.
La segunda vulnerabilidad, que también se encuentra en la Plataforma Orion, se refiere a la manera insegura en que las credenciales de la base de datos backend (denominada «SOLARWINDS_ORION») se almacenan en un archivo de configuración, lo que hace que un usuario local sin privilegios tome el control total de la base de datos, robe información, o incluso agregar un nuevo usuario de nivel de administrador para usar dentro de los productos SolarWinds Orion.
Por último, una falla en SolarWinds Serv-U FTP Server 15.2.1 para Windows podría permitir que cualquier atacante que pueda iniciar sesión en el sistema localmente o a través de Escritorio remoto suelte un archivo que define un nuevo usuario administrador con acceso completo a C: unidad, que luego se puede aprovechar iniciando sesión como ese usuario a través de FTP y leyendo o reemplazando cualquier archivo en la unidad.
El Departamento de Agricultura de los EE. UU. se dirige al uso de la nueva falla de SolarWinds
La noticia de las tres vulnerabilidades en los productos de SolarWinds llega inmediatamente después de los informes de que presuntos actores de amenazas chinos explotaron una falla previamente no documentada en el software de la compañía para ingresar al Centro Nacional de Finanzas, una agencia federal de nómina dentro del Departamento de Agricultura de EE. UU.
Se dice que esta falla es diferente de las que abusaron los presuntos agentes de amenazas rusos para comprometer el software SolarWinds Orion que luego se distribuyó a hasta 18,000 de sus clientes, según Reuters.
A fines de diciembre, Microsoft dijo que un segundo colectivo de piratas informáticos podría haber estado abusando del software Orion del proveedor de infraestructura de TI para lanzar una puerta trasera persistente llamada Supernova en los sistemas de destino aprovechando una vulnerabilidad de omisión de autenticación en la API de Orion para ejecutar comandos arbitrarios.
SolarWinds emitió un parche para abordar la vulnerabilidad el 26 de diciembre de 2020.
La semana pasada, Brandon Wales, director interino de la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA), dijo que casi el 30 % de las agencias gubernamentales y del sector privado vinculadas a la campaña de intrusión no tenían conexión directa con SolarWinds, lo que implica que los atacantes usaron una variedad de formas de violar los entornos de destino.
A pesar de la superposición en los esfuerzos de espionaje gemelos, las campañas son otra señal de que los grupos de amenazas persistentes avanzadas (APT) se están enfocando cada vez más en la cadena de suministro de software como un conducto para atacar objetivos de alto valor, como corporaciones y agencias gubernamentales.
La confianza y la ubicuidad de software como los de SolarWinds o Microsoft los convierte en un objetivo lucrativo para los atacantes, lo que subraya la necesidad de que las organizaciones estén atentas a los peligros potenciales derivados de confiar en herramientas de terceros para administrar sus plataformas y servicios.
