Die SolarWinds Orion-Kompromittierung hat potenziell 18.000 Kunden weltweit betroffen, darunter Regierungsbehörden und Fortune-500-Unternehmen. Censys sieht derzeit 1.336 Orion-Hosts (Stand: 29. Dezember 2020). Die wichtigsten Standorte dieser Hosts sind die folgenden:. Dies ist äußerst besorgniserregend, da diese Hosts nicht mit dem Internet verbunden sein sollten und möglicherweise mit den C2-Servern des Gegners kommunizieren könnten.
Aktive Orion-Hosts im Internet (Stand: 21. Dezember 2020).
Wir wissen, dass es bei einer Kompromittierung dieses Ausmaßes entscheidend ist, als Gemeinschaft zusammenzuarbeiten, um die Auswirkungen zu verstehen. Censys ist bestrebt, unsere Kunden und die Gemeinschaft so gut wie möglich zu unterstützen. Auch wenn vieles noch unbekannt ist, verfügt Censys über einen unübertroffenen Überblick über das Internet, der sowohl Verteidigern als auch Bedrohungsforschern bei ihren aktuellen Untersuchungen helfen kann. Unser Ziel ist es, diesen Gruppen weiterhin wertvolle Informationen und Werkzeuge zur Verfügung zu stellen.
Wir haben Censys ASM Platform-Kunden über die Kompromittierung von SolarWinds Orion und die möglichen Auswirkungen auf ihr Netzwerk informiert. Außerdem bieten wir Enterprise- und Pro Data-Kunden eine Bewertung der Angriffsfläche und eine 30-tägige Überwachung durch unsere ASM-Plattform an. Wir hoffen, dass diese verbesserte Transparenz es den Verantwortlichen ermöglicht, schneller Abhilfe zu schaffen und zu verstehen, welche Maßnahmen sie ergreifen sollten, um ihre Angriffsfläche zu sichern.
Um die breite Community zu unterstützen, haben wir Censys Search Free / Pro Abfragen veröffentlicht, die Verteidiger und Bedrohungsforscher nutzen können, um Orion-assoziierte Infrastrukturen im Internet zu identifizieren. Wir haben außerdem damit begonnen, wahrscheinlich gefährdete Unternehmen zu benachrichtigen, die einen der 1.336 aktiven SolarWinds Orion-Hosts kontrollieren, die wir bei unseren internetweiten Scans entdeckt haben. Weitere Details zu den von uns gefundenen gefährdeten Hosts, unserer Vorgehensweise und Analyse finden Sie hier und werden laufend aktualisiert. Die vollständigen Auswirkungen sind noch nicht bekannt. Unternehmen sollten die CISA-Notfallrichtlinie befolgen, die zuletzt am Sonntag, den 14. Dezember 2020, überarbeitet wurde.
Wir hoffen, Ihnen bei der Identifizierung von Vermögenswerten behilflich sein zu können, empfehlen Ihnen jedoch, die in den nachstehenden Ressourcen beschriebenen Richtlinien zu befolgen, um weitere Hinweise zu erhalten:
