Los piratas informáticos explotan VPN para implementar el malware SUPERNOVA en SolarWinds Orion

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado detalles de una nueva amenaza persistente avanzada (APT) que está aprovechando la puerta trasera Supernova para comprometer las instalaciones de SolarWinds Orion después de obtener acceso a la red a través de una conexión a un dispositivo Pulse Secure VPN.

«El actor de amenazas se conectó a la red de la entidad a través de un dispositivo de red privada virtual (VPN) Pulse Secure, se movió lateralmente a su servidor SolarWinds Orion, instaló malware al que los investigadores de seguridad se refieren como SUPERNOVA (un shell web .NET) y recolectó credenciales, «, dijo la agencia el jueves.

CISA dijo que identificó al actor de amenazas durante un compromiso de respuesta a incidentes en una organización no identificada y descubrió que el atacante tuvo acceso a la red de la empresa durante casi un año mediante el uso de las credenciales de VPN entre marzo de 2020 y febrero de 2021.

Curiosamente, se dice que el adversario usó cuentas válidas que tenían habilitada la autenticación multifactor (MFA), en lugar de un exploit para una vulnerabilidad, para conectarse a la VPN, lo que les permitió hacerse pasar por empleados legítimos de teletrabajo de la entidad afectada.

En diciembre de 2020, Microsoft reveló que un segundo grupo de espionaje podría haber estado abusando del software Orion del proveedor de infraestructura de TI para lanzar una puerta trasera persistente llamada Supernova en los sistemas de destino. Desde entonces, las intrusiones se han atribuido a un actor de amenazas vinculado a China llamado Espiral.

A diferencia de Sunburst y otras piezas de malware que se han conectado al compromiso de SolarWinds, Supernova es un shell web .NET implementado mediante la modificación de un módulo «app_web_logoimagehandler.ashx.b6031896.dll» de la aplicación SolarWinds Orion. Las modificaciones fueron posibles al aprovechar una vulnerabilidad de omisión de autenticación en la API de Orion rastreada como CVE-2020-10148, lo que a su vez permite que un atacante remoto ejecute comandos API no autenticados.

Una investigación sobre el incidente está en curso. Mientras tanto, CISA recomienda a las organizaciones que implementen MFA para cuentas privilegiadas, habiliten firewalls para filtrar solicitudes de conexión no solicitadas, apliquen políticas de contraseñas seguras y protejan el Protocolo de escritorio remoto (RDP) y otras soluciones de acceso remoto.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática