Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2021-03-09 13:32 Secureworksのカウンタースレットユニット(CTU)は米国時間3月8日、.NETで記述したウェブシェル「SUPERNOVA」を展開するために、インターネットに接続したSolarWindsのサーバーが2020年後半に使用されていた可能性があることを明らかにした。 同じネットワークが似たような方法で侵入されていることから、中国を拠点とすると疑われる脅威グループ「Spiral」が、いずれの事例にも関係しているようだ。 研究者らによると、Spiralは脆弱性「CVE-2020-10148」を積極的に悪用している。SolarWindsの「Orion API」 にあるこの脆弱性は、認証バイパスのバグと説明されており、APIコマンドをリモートで実行できるようになる。
![SolarWindsハッキング、中国の脅威グループが「SUPERNOVA」マルウェア展開に関与か](https://cdn-ak-scissors.b.st-hatena.com/image/square/73d6b6354d96e9e1aad57cd9cc418bc763ba4e17/height=288;version=1;width=512/https%3A%2F%2Fjapan.zdnet.com%2Fstorage%2F2021%2F03%2F09%2Fb25df3e3434ee604bf66290c8b4ac370%2Fscreenshot-2021-03-08-at-08-45-23_1280x960.jpg)