Skip to the content.

DIVD-2020-00014 - SolarWinds Orion

Our reference DIVD-2020-00014
Case lead Barry van Kampen
Author Lennaert Oudshoorn
Researcher(s)
CVE(s)
Product SolarWinds Orion
Versions Lower than 2019 HF6 or 2020 HF2
Recommendation Deploy the hotfix that is available for your Orion-version
Patch status Available
Status Open

English below

Samenvatting

Er is een nieuwe zero-day kwetsbaarheid gevonden in SolarWinds Orion, bekend als CVE-2020-10148, met deze kwetsbaarheid kan een aanvaller zonder authenticatie API commando’s uitvoeren en zo het systeem compromiteren.

Wat kunt u doen?

Als u gebruik maak van SolarWinds Orion controleer dan uw versie en installeer de hotfix conform SolarWinds Security Advisory. Scherm de management interface af van het publieke internet.

Wat doen wij?

Onderzoekers van het DIVD hebben gescanned op kwetsbare systemen. Om vast te stellen of een systeem kwetsbaar is wordt gekeken naar de volgende eisen:

  1. Geeft een 200 reactie op een HEAD request voor “/web.config.i18n.ashx?l=en-us&v=1”, wat de indicatie geeft dat web.config (en andere bestanden) gelezen kunnen worden door een GET request met hoge waarschijnlijkheid (>80%). Om dit geheel zeker vast te stellen zie het LFI Proof of Concept.
  2. Geeft een non-403 reactie op een GET request voor “/WebResource.axd” en “/Orion/WebResource.axd”, wat de indicatie geeft dat de mitigatie niet aanwezig is. (We kunnen niet uitsluiten dat er niet andere mitigerende maatregelen genomen zijn.)
  3. In gevallen waar de HTML van “/Orion/Login.aspx” versie informatie geeft, duidelijke informatie over een versie ouder dan 2019.4 HF6 of 2020.2.1 HF2.

Aan de hand van deze scan resultaten zullen wij de beheerders van deze systemen op de hoogte proberen te stellen.

Timeline

Date Description
23-12-2020 Patches voor deze kwetsbaarheid uitgebracht door SolarWinds
26-12-2020 Kwetsbaarheid publiekelijk bekend
28-12-2020 Public PoC beschikbaar
30-12-2020 DIVD scant op deze kwetsbaarheid
30-12-2020 Eerste notificaties verstuurd

Meer informatie


English

Summary

A new zero-day vulnerability was found in SolarWinds Orion, known as CVE-2020-10148, this vulnerability allows a remote attacker to bypass authentication and execute API commandos, possibly compromising the system.

What you can do

If you use SolarWinds Orion check the version number and install the hotfix conform SolarWinds Security Advisory. Don’t expose the management interface to the public internet.

What we are doing

DIVD researchers have scanned for vulnerable systems. To determine vulnerability we looked at systems that met the following conditions:

  1. Returned a HTTP 200 to a HEAD request for “/web.config.i18n.ashx?l=en-us&v=1”, which indicates web.config (and other files) can be read by a GET request w/high probability (>80%). To confirm with full certainty, see the LFI Proof of Concept.
  2. Returned a non-403 to a GET request for “/WebResource.axd” and “/Orion/WebResource.axd”, which indicates the mitigation is not present. (We can’t rule out that a different mitigation is present.)
  3. In cases where the HTML of “/Orion/Login.aspx” shows version information, clear indication of a version prior to 2019.4 HF6 or 2020.2.1 HF2.

Based on these scan results we try to notify administrators of vulnerable systems.

Timeline

Date Description
23-12-2020 Patches for this vulnerability available from SolarWinds
26-12-2020 Vulnerability publicly disclosed
28-12-2020 Public PoC available
30-12-2020 DIVD scans for this vulnerability
30-12-2020 First notifications sent

More information