SolarWinds发布SUPERNOVA恶意软件的安全更新
作者:星期一, 十二月 28, 20200

上周末SolarWinds针对其网络管理平台Orion上发现的第二个恶意软件——SuperNova发布了安全更新公告。

本月初,SolarWinds被曝光遭遇供应链APT攻击,攻击者在合法的SolarWinds网管软件Orion的动态库文件——SolarWinds.Orion.Core.BusinessLayer.dll中植入了恶意的SUNBURST后门木马。然后,该后门木马通过供应链攻击中的自动更新功能分发给SolarWinds客户(1.8万个)。

在分析SolarWinds漏洞的过程中,Palo Alto Unit 42和微软安全团队在App_Web_logoimagehandler.ashx.b6031896.dll DLL文件发现了另外一个名为SuperNova的恶意软件。该恶意软件使黑客能够远程发送C#代码,由恶意软件编译并在受害者的计算机上执行。

SuperNova代码编译可执行文件

来源:Palo Alto Unit 42

微软和Palo Alto都认为,这个新的恶意软件与最初发现的SolarWinds供应链APT攻击中的SUNBURST木马背后的组织无关,出自另外一个黑客组织之手。

上周五,SolarWinds发布了更新后的公告,其中包含有关SUPERNOVA恶意软件以及其SolarWinds Orion网络管理平台如何分发该恶意软件的信息。

SolarWinds的安全公告指出:“SUPERNOVA恶意软件由两个组件组成。第一个是专门为在SolarWinds Orion平台上使用而编写的,未经签名的恶意Webshell动态库文件——‘app_web_logoimagehandler.ashx.b6031896.dll’。第二个是利用Orion的漏洞部署恶意代码的平台,这些漏洞已在最新更新中解决。”

SolarWinds建议所有Orion Platform客户升级到最新版本,以免受SUNBURST漏洞和SUPERNOVA恶意软件的攻击。

当前Orion平台提供的更新包括以下版本和补丁:

  • 2019.4 HF 6(2020年12月14日发布)
  • 2020.2.1 HF 2(发布于2020年12月15日)
  • 2019.2 SUPERNOVA补丁(2020年12月23日发布)
  • 2018.4 SUPERNOVA补丁(2020年12月23日发布)
  • 2018.2 SUPERNOVA补丁(2020年12月23日发布)

升级到2020.2.1 HF 2或2019.4 HF 6版本的客户已经解决了SUNBURST和SUPERNOVA漏洞,因此无需采取进一步措施。

参考资料

http://www.solarwinds.com/securityadvisory


相关文章