上周末SolarWinds针对其网络管理平台Orion上发现的第二个恶意软件——SuperNova发布了安全更新公告。
本月初,SolarWinds被曝光遭遇供应链APT攻击,攻击者在合法的SolarWinds网管软件Orion的动态库文件——SolarWinds.Orion.Core.BusinessLayer.dll中植入了恶意的SUNBURST后门木马。然后,该后门木马通过供应链攻击中的自动更新功能分发给SolarWinds客户(1.8万个)。
在分析SolarWinds漏洞的过程中,Palo Alto Unit 42和微软安全团队在App_Web_logoimagehandler.ashx.b6031896.dll DLL文件发现了另外一个名为SuperNova的恶意软件。该恶意软件使黑客能够远程发送C#代码,由恶意软件编译并在受害者的计算机上执行。
SuperNova代码编译可执行文件
来源:Palo Alto Unit 42
微软和Palo Alto都认为,这个新的恶意软件与最初发现的SolarWinds供应链APT攻击中的SUNBURST木马背后的组织无关,出自另外一个黑客组织之手。
上周五,SolarWinds发布了更新后的公告,其中包含有关SUPERNOVA恶意软件以及其SolarWinds Orion网络管理平台如何分发该恶意软件的信息。
SolarWinds的安全公告指出:“SUPERNOVA恶意软件由两个组件组成。第一个是专门为在SolarWinds Orion平台上使用而编写的,未经签名的恶意Webshell动态库文件——‘app_web_logoimagehandler.ashx.b6031896.dll’。第二个是利用Orion的漏洞部署恶意代码的平台,这些漏洞已在最新更新中解决。”
SolarWinds建议所有Orion Platform客户升级到最新版本,以免受SUNBURST漏洞和SUPERNOVA恶意软件的攻击。
当前Orion平台提供的更新包括以下版本和补丁:
2019.4 HF 6(2020年12月14日发布)
2020.2.1 HF 2(发布于2020年12月15日)
2019.2 SUPERNOVA补丁(2020年12月23日发布)
2018.4 SUPERNOVA补丁(2020年12月23日发布)
2018.2 SUPERNOVA补丁(2020年12月23日发布)
升级到2020.2.1 HF 2或2019.4 HF 6版本的客户已经解决了SUNBURST和SUPERNOVA漏洞,因此无需采取进一步措施。
参考资料
来源:安全牛
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!