SolarWinds Orion API Kimlik Doğrulaması Atlatma Zafiyeti

SolarWinds Orion API Kimlik Doğrulaması Atlatma Zafiyeti

CERT Koordinasyon Merkezi tarafından yayımlanan bir belgeye göre, diğer tüm Orion sistem izleme ve yönetim sistemleri ile arayüz oluşturmak için kullanılan SolarWinds Orion API, saldırganların kimlik doğrulaması yapmadan komut çalıştırabilmesine imkan vermektedir.

Bu zafiyette, URI isteğindeki Request.PathInfo kısmına özel parametreler eklenerek, API'de var olan kimlik doğrulama süreci aşılabilmektedir ve olası saldırganlar kimlik doğrulama yapmadan sistemde API vasıtası ile verilen komutları çalıştırabilmektedir.

Zafiyet, daha önce Microsoft tarafından bilgileri yayınlanmış olan SUPERNOVA adlı art niyetli yazılımın yüklenmesi ve yayılması faaliyetlerinde de kullanılmış olabilir.

ETKİLENEN SİSTEMLER

Orion Platform versions 2019.4 HF 5, 2020.2 with no hotfix installed Orion Platform versions 2020.2 HF 1

ÇÖZÜM/ÖNERİ

Aşağıdaki belirtilen güncellemelerin yüklenmesi önerilmektedir.

2019.4 HF 6 (Aralık 14, 2020) 2020.2.1 HF 2 (Aralık 15, 2020) 2019.2 SUPERNOVA Patch (Aralık 23, 2020) 2018.4 SUPERNOVA Patch (Aralık 23, 2020) 2018.2 SUPERNOVA Patch (Aralık 23, 2020)

Halihazırda 2020.2.1 HF 2 ve 2019.4 HF 6 güncelleştirmelerini yapan kullanıcılar için hem SUNBURST hem de SUPERNOVA'ya ait zafiyetlerin giderildiği bilgisi verilmektedir ve başka bir işlem yapılmasına gerek yoktur.

CVE / CWE

CVE-2020-10148

Ek Bilgi

• Solarwinds Güvenlik Bülteni
• DHS Acil Bildirimi
• Orion SDK Wiki