La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha revelado detalles de una nueva amenaza persistente avanzada (APT) que aprovecha la puerta trasera de Supernova para comprometer las instalaciones de SolarWinds Orion después de obtener acceso a la red a través de una conexión a un dispositivo Pulse Secure VPN .
«El actor de amenazas se conectó a la red de la entidad a través de un dispositivo de red privada virtual (VPN) Pulse Secure, se trasladó lateralmente a su servidor SolarWinds Orion, instaló malware denominado por los investigadores de seguridad SUPERNOVA (un shell web .NET) y recopiló credenciales, «, dijo la agencia el jueves.
CISA dijo que identificó al actor de la amenaza durante un compromiso de respuesta a incidentes en una organización anónima y descubrió que el atacante tuvo acceso a la red de la empresa durante casi un año mediante el uso de las credenciales de VPN entre marzo de 2020 y febrero de 2021.
Curiosamente, se dice que el adversario utilizó cuentas válidas que tenían habilitada la autenticación multifactor (MFA), en lugar de un exploit para una vulnerabilidad, para conectarse a la VPN, lo que les permitió hacerse pasar por empleados legítimos de teletrabajo de la entidad afectada.
En diciembre de 2020, Microsoft reveló que un segundo grupo de espionaje podría haber estado abusando del software Orion del proveedor de infraestructura de TI para colocar una puerta trasera persistente llamada Supernova en los sistemas de destino. Desde entonces, las intrusiones se han atribuido a un actor de amenazas vinculado a China llamado Spiral .
A diferencia de Sunburst y otras piezas de malware que se han conectado al compromiso de SolarWinds, Supernova es un shell web .NET implementado modificando un módulo «app_web_logoimagehandler.ashx.b6031896.dll» de la aplicación SolarWinds Orion. Las modificaciones fueron posibles al aprovechar una vulnerabilidad de omisión de autenticación en la API de Orion rastreada como CVE-2020-10148 , lo que a su vez permite que un atacante remoto ejecute comandos de API no autenticados.
Se está llevando a cabo una investigación sobre el incidente. Mientras tanto, CISA recomienda a las organizaciones que implementen MFA para cuentas privilegiadas, habiliten firewalls para filtrar solicitudes de conexión no solicitadas, impongan políticas de contraseñas seguras y protejan el Protocolo de escritorio remoto (RDP) y otras soluciones de acceso remoto.
