La Agencia de Ciberseguridad y Seguridad en Infraestructura (CISA) del gobierno de Estados Unidos dice que ha detectado un nuevo ataque cibernético en el que una amenaza persistente avanzada (APT) ha aprovechado un dispositivo de red privada virtual (VPN) Pulse Secure y un servidor SolarWinds Orion para obtener acceso a una organización sin nombre e instalar el malware Supernova en su red.
La agencia dice que es un incidente separado del compromiso de la cadena de suministro de SolarWinds del año pasado.
"El actor de amenazas conectado a la red de la entidad a través de un dispositivo de red privada virtual (VPN) pulse secure, se trasladó lateralmente a su servidor SolarWinds Orion, instaló malware referido por investigadores de seguridad como SUPERNOVA (una webshell .NET) y recogió credenciales", dijo CISA en una nueva alerta.
Supernova es una puerta trasera que permite a un operador remoto insertar dinámicamente código fuente de C# en un portal web para insertar posteriormente código. Los hackers utilizan este malware para el reconocimiento, para llevar a cabo el mapeo de dominio, y robar información sensible y credenciales. La agencia señala que Supernova no está integrada dentro de la plataforma Orion como un ataque a la cadena de suministro, es una pieza de malware que un atacante instala directamente en un sistema que aloja SolarWinds Orion, y está diseñado para aparecer como parte del producto SolarWinds.
Desde al menos marzo de 2020 hasta febrero de 2021, la APT aprovechó varias cuentas de usuario, ninguna de las cuales tenía habilitada la autenticación multifactor, para conectarse al entorno de víctimas a través de Pulse Secure VPN.
A continuación, los intrusos se movieron lateralmente al dispositivo SolarWinds Orion e implementaron la webshell Supernova para "insertar dinámicamente código fuente de C# en un portal web proporcionado a través del conjunto de software SolarWinds". El código inyectado se compila y se ejecuta directamente en la memoria.
CISA cree que el actor de amenazas explotó CVE-2020-10148, una vulnerabilidad de derivación de autenticación en solarWinds Orion API, para omitir la autenticación al dispositivo SolarWinds y, a continuación, utilizó SolarWinds Orion API ExecuteExternalProgram() para ejecutar comandos con los privilegios system (los mismos privilegios que el dispositivo SolarWinds estaba ejecutando).
A principios de esta semana, la firma de ciberseguridad FireEye publicó un informe que detalla los ataques cibernéticos que explotan una vulnerabilidad de día cero en Pulse Secure VPN.
CISA Identifies SUPERNOVA Malware During Incident Response | CISA
