DIVD-2020-00014 - SolarWinds Orion
Our reference | DIVD-2020-00014 |
Case lead | Barry van Kampen |
Author | Lennaert Oudshoorn |
Researcher(s) |
|
CVE(s) | |
Product | SolarWinds Orion |
Versions | Lower than 2019 HF6 or 2020 HF2 |
Recommendation | Deploy the hotfix that is available for your Orion-version |
Patch status | Available |
Status | Closed |
Last modified | 12 Aug 2022 11:21 CEST |
Samenvatting
Er is een nieuwe zero-day kwetsbaarheid gevonden in SolarWinds Orion, bekend als CVE-2020-10148, met deze kwetsbaarheid kan een aanvaller zonder authenticatie API commando’s uitvoeren en zo het systeem compromiteren.
Wat kunt u doen?
Als u gebruik maak van SolarWinds Orion controleer dan uw versie en installeer de hotfix conform SolarWinds Security Advisory. Scherm de management interface af van het publieke internet.
Wat doen wij?
Onderzoekers van het DIVD hebben gescanned op kwetsbare systemen. Om vast te stellen of een systeem kwetsbaar is wordt gekeken naar de volgende eisen:
- Geeft een 200 reactie op een HEAD request voor “/web.config.i18n.ashx?l=en-us&v=1”, wat de indicatie geeft dat web.config (en andere bestanden) gelezen kunnen worden door een GET request met hoge waarschijnlijkheid (>80%). Om dit geheel zeker vast te stellen zie het LFI Proof of Concept.
- Geeft een non-403 reactie op een GET request voor “/WebResource.axd” en “/Orion/WebResource.axd”, wat de indicatie geeft dat de mitigatie niet aanwezig is. (We kunnen niet uitsluiten dat er niet andere mitigerende maatregelen genomen zijn.)
- In gevallen waar de HTML van “/Orion/Login.aspx” versie informatie geeft, duidelijke informatie over een versie ouder dan 2019.4 HF6 of 2020.2.1 HF2.
Aan de hand van deze scan resultaten zullen wij de beheerders van deze systemen op de hoogte proberen te stellen.
Timeline
Date | Description |
---|---|
23-12-2020 | Patches voor deze kwetsbaarheid uitgebracht door SolarWinds |
26-12-2020 | Kwetsbaarheid publiekelijk bekend |
28-12-2020 | Public PoC beschikbaar |
30-12-2020 | DIVD scant op deze kwetsbaarheid |
30-12-2020 | Eerste notificaties verstuurd |
Meer informatie
- Security Week 28-12-2020
- SolarWinds Security Advisory
- CVE-2020-10148
- SolarWinds Orion API authentication bypass allows remote command execution
English
Summary
A new zero-day vulnerability was found in SolarWinds Orion, known as CVE-2020-10148, this vulnerability allows a remote attacker to bypass authentication and execute API commandos, possibly compromising the system.
What you can do
If you use SolarWinds Orion check the version number and install the hotfix conform SolarWinds Security Advisory. Don’t expose the management interface to the public internet.
What we are doing
DIVD researchers have scanned for vulnerable systems. To determine vulnerability we looked at systems that met the following conditions:
- Returned a HTTP 200 to a HEAD request for “/web.config.i18n.ashx?l=en-us&v=1”, which indicates web.config (and other files) can be read by a GET request w/high probability (>80%). To confirm with full certainty, see the LFI Proof of Concept.
- Returned a non-403 to a GET request for “/WebResource.axd” and “/Orion/WebResource.axd”, which indicates the mitigation is not present. (We can’t rule out that a different mitigation is present.)
- In cases where the HTML of “/Orion/Login.aspx” shows version information, clear indication of a version prior to 2019.4 HF6 or 2020.2.1 HF2.
Based on these scan results we try to notify administrators of vulnerable systems.
Timeline
Date | Description |
---|---|
23 Dec 2020 | Patches for this vulnerability available from SolarWinds |
26 Dec 2020 | Vulnerability publicly disclosed |
28 Dec 2020 | Public PoC available |
30 Dec 2020 | DIVD scans for this vulnerability |
30 Dec 2020 | First notifications sent |
More information
- Security Week 28-12-2020
- SolarWinds Security Advisory
- CVE-2020-10148
- SolarWinds Orion API authentication bypass allows remote command execution