SUPERNOVA: nuevo componente troyanizado en SolarWinds Orion

Tiempo de lectura: 2 minutos

Orion es una plataforma de monitorización, análisis y administración de sistemas TI desarrollada por la empresa SolarWinds que utilizan más de 33.000 clientes a nivel mundial.

El servicio, de vital importancia para las empresas y organizaciones que lo utilizan, sufrió un ataque en marzo de 2020, pero no fue hasta el mes de diciembre del mismo año cuando se reporta por primera vez. El malware, conocido como SUNBURST o Solorigate, pudo ser propiciada por el uso de una contraseña insegura en uno de los servidores de la compañía SolarWinds.

Una investigación por parte del equipo de Microsoft reveló días más tarde la existencia de una segunda vulnerabilidad, al que denominaron SUPERNOVA.

¿Qué es SUPERNOVA y cómo actúa?

SUPERNOVA es un malware utilizado por los atacantes como una puerta trasera de acceso a la versión de Orion infectada e instalada por los clientes. Mediante él, los atacantes pueden controlar la estructura de tecnología de la información de una organización, es decir, sus ordenadores, servidores y otros dispositivos conectados en red. Se trata de un web shell, un programa que habilita el acceso remoto a través de un navegador. Es una versión troyanizada de una librería .NET que se incluía en el software de SolarWinds, y no deja trazas en el disco del dispositivo infectado, dificultando en gran medida su detección.

A diferencia de un ataque a la cadena de distribución como SUNBURST, SUPERNOVA no se integró en el código de ninguna de las versiones de programa Orion instaladas por los clientes. Por contrario, el malware es enviado directamente a la red del cliente y se instala sin su autorización, aparentando ser un componente más de la plataforma Orion.

De manera secundaria, también se detectó que el mismo grupo de hackers explotó una vulnerabilidad ya presente en el código base de Orion para modificarlo de manera maliciosa, aunque de nuevo esto no afectaba a las versiones distribuidas por SolarWinds, sino que debía de hacerse individualmente para cada víctima.

¿Cómo protegerse de SUPERNOVA?

Desde SolarWinds declaran que, tras una extensa investigación, han eliminado todo el malware presente en los servidores de la empresa, han mejorado los protocolos de seguridad y han mitigado las vulnerabilidades presentes en las nuevas versiones de la plataforma Orion.

Se recomienda que todos los usuarios actualicen el software a la última versión. Si esto no fuera posible en el momento, SolarWinds también ofrece un script para su descarga en su página web que ofrece protección contra SUPERNOVA.

De manera adicional, se recuerda a los usuarios de Orion que continúen tratando su información sensible de la manera más segura posible, que los permisos de acceso se gestionen correctamente y que se instruya a los empleados en buenas prácticas.

Si quieres detectar vulnerabilidades en la red de tu empresa y protegerla ante ciberataques, ponte en manos de Hubler.

SUPERNOVA: nuevo componente troyanizado en SolarWinds Orion