> [!danger] CVSS 9.8 - Crítico > Bypass de autenticação na API do SolarWinds Orion permite execução remota de comandos de API sem credenciais válidas. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2021-11-03. Utilizada como parte da campanha SolarWinds Sunburst/Solorigate. > [!success] Patch Disponível > Hotfixes disponibilizados em dezembro de 2020. Atualizar imediatamente. # CVE-2020-10148 - SolarWinds Orion API Authentication Bypass (Solorigate) > CVSS: 9.8 · EPSS: 94% · Vendor: SolarWinds · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2020-10148** é uma vulnerabilidade crítica de **bypass de autenticação** (CWE-288 / CWE-306) na **API do SolarWinds Orion Platform**. A falha permite que atacantes remotos não autenticados executem comandos de API arbitrários, comprometendo completamente a instância do Orion. A vulnerabilidade foi identificada no contexto da investigação do megaincidente **SolarWinds Sunburst (Solorigate)** de 2020. O [[g0016-apt29]] (Cozy Bear / SVR russo) explorou o ecossistema SolarWinds como parte de uma das campanhas de espionagem mais sofisticadas da história, comprometendo dezenas de agências do governo dos EUA e centenas de empresas privadas. Embora o vetor primário da campanha Sunburst tenha sido a backdoor SUNBURST implantada na supply chain, o CVE-2020-10148 representava um vetor adicional de acesso persistente à plataforma Orion. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **94%** de probabilidade de exploração - CISA KEV: adicionado em 2021-11-03 - Relacionado à campanha [[solarwinds-supply-chain-attack]] ## Detalhes Técnicos A vulnerabilidade reside no mecanismo de autenticação da API REST do SolarWinds Orion: 1. **Caminho alternativo:** A API possui um caminho de acesso alternativo que contorna os controles de autenticação normais (CWE-288) 2. **Autenticação ausente:** Funcionalidades críticas de API podem ser acessadas sem autenticação válida (CWE-306) 3. **Execução de comandos:** O atacante pode executar qualquer comando disponível na API Orion sem credenciais 4. **Impacto:** Comprometimento completo da instância Orion - acesso a todos os dados monitorados, configurações e credenciais armazenadas ## Exploração **Status atual:** Exploração confirmada no contexto da campanha SolarWinds Sunburst/Solorigate. **Grupos de ameaça utilizando:** - [[g0016-apt29]] - Cozy Bear (SVR russo) - responsável pela operação SolarWinds Sunburst, a maior operação de espionagem via supply chain da história **Campanhas associadas:** - [[solarwinds-supply-chain-attack]] - comprometimento da supply chain SolarWinds com backdoor SUNBURST implantada em atualizações legítimas do Orion **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração da API Orion exposta - [[t1078-valid-accounts|T1078 - Valid Accounts]] - uso de credenciais obtidas via API comprometida - [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - backdoor SUNBURST na supply chain SolarWinds ## Contexto LATAM > [!latam] SolarWinds Orion e Exposição na América Latina > O SolarWinds Orion é amplamente utilizado por grandes corporações, governos e provedores de serviços gerenciados (MSPs) na América Latina para monitoramento de infraestrutura de rede. Durante a campanha **Sunburst/Solorigate** de 2020, organizações brasileiras, argentinas e mexicanas que usavam o Orion foram potencialmente expostas — embora a maioria dos alvos confirmados pelo **APT29** (SVR russo) fossem entidades norte-americanas e europeias. > > O risco regional persiste porque MSPs na LATAM frequentemente centralizam o gerenciamento de múltiplos clientes no mesmo servidor Orion, tornando uma única instância comprometida um vetor de acesso a dezenas de organizações. A recomendação de isolar interfaces de gerenciamento da internet é especialmente crítica nesse modelo de operação. ## Mitigação **Patch oficial:** - Atualizar para versões com hotfix: 2019.4 HF6, 2020.2.1 HF2 ou posterior - Release notes: [SolarWinds Security Advisory](https://www.solarwinds.com/trust-center/security-advisories) **Ações recomendadas:** 1. Aplicar hotfixes e patches do SolarWinds Orion imediatamente 2. Isolar o servidor Orion da internet - interface de gerenciamento nunca deve ser pública 3. Realizar varredura completa por indicadores de comprometimento SUNBURST/TEARDROP 4. Auditar contas administrativas criadas no período dezembro 2019 – dezembro 2020 5. Rotacionar todas as credenciais armazenadas no Orion ## Notas Relacionadas **CVEs relacionados:** [[cve-2020-14882|CVE-2020-14882]] · [[cve-2021-27104|CVE-2021-27104]] **Atores explorando:** [[g0016-apt29]] **Campanhas:** [[solarwinds-supply-chain-attack]] **TTPs relacionadas:** [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] · [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Setores em risco:** [[government]] · [[technology]] · [[financial]] ## Referências - [NVD - CVE-2020-10148](https://nvd.nist.gov/vuln/detail/CVE-2020-10148) - [CISA - SolarWinds Guidance](https://www.cisa.gov/uscert/ncas/alerts/aa20-352a) - [CERT/CC VU#843464](https://kb.cert.org/vuls/id/843464) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)