Dieser Blogbeitrag wurde zuletzt aktualisiert am:
1. Februar 2021
Dies ist das letzte Blog-Update, das unsere Sichtbarkeit von Orion-Hosts im Internet von Mitte Dezember bis Januar 2021 zusammenfasst. Censys aktualisiert diesen Blog weiterhin mit dem Ziel, die globalen Trends und Auswirkungen von Orion-Hosts im Internet zu verstehen.
Am 31. Januar 2021 beobachtete Censys 1.524 Orion-Hosts im Internet. Die wichtigsten Standorte dieser Hosts sind die folgenden:
- Vereinigte Staaten - 543
- Vereinigtes Königreich - 85
- China - 49
- Iran - 42
- Australien - 40
Diese neuen Daten, die unseren universellen Internet-Datensatz nutzen, deuten darauf hin, dass die Anzahl der mit dem Internet verbundenen Orion-Hosts seit der internetweiten Bestandsaufnahme am 28. Dezember 2020 zugenommen hat, wobei sich die Lage gegen Ende Januar anscheinend entspannt.
Insgesamt haben wir über die Feiertage einen Abwärtstrend bei öffentlich zugänglichen Orion-Servern festgestellt, der mit Beginn des neuen Jahres wieder deutlich zunimmt. Orion-Hosts sollten nicht mit dem Internet verbunden sein, daher ist es besorgniserregend, überhaupt Ergebnisse in unseren internetweiten Scandaten zu sehen. In Anbetracht der Trends, die wir seit Mitte Dezember beobachtet haben, gehen wir jedoch davon aus, dass der Rückgang und spätere Anstieg auf ein zweigeteiltes Phänomen zurückzuführen ist:
- Organisationen, die SolarWinds-Server abbauen und mit Patches versehen und dann wieder in Betrieb nehmen, und
- Unternehmen, die diese Server falsch konfigurieren, indem sie sie direkt dem Internet aussetzen, wo sie zuvor nicht ausgesetzt waren.
Die zweite Hypothese ist besonders besorgniserregend, da dadurch möglicherweise neue Angriffsvektoren geschaffen werden, indem die Angriffsfläche erweitert wird. Da Censysin der Lage ist, ein portunabhängiges Internet-Scanning durchzuführen, das alle Hosts, die dem Internet ausgesetzt sind, unabhängig von den Ports sichtbar macht, haben wir auch Versuche gefunden, Dienste zu "verstecken", indem sie hinter einem ungewöhnlichen Port versteckt werden.
Weitere Untersuchungen ergaben einen ähnlichen Trend seit Mitte Dezember in Bezug auf die Portvielfalt. Zu Beginn unserer Untersuchung sahen wir einen stetigen Abwärtstrend bei den verschiedenen Ports, die zum Hosten von Orion-Servern verwendet wurden, dann aber einen ähnlichen stetigen Anstieg ab dem 29. Dezember 2020. Dies könnte darauf hindeuten, dass Unternehmen, die ihre SolarWinds Orion-Hosts patchen und wieder in Betrieb nehmen, andere Ports verwenden, die möglicherweise nicht in ihren Filterregeln enthalten sind.
Portvielfalt auf verschiedenen Orion-Hosts pro Tag.
Was ist das Problem?
Sonntagnacht (13. Dezember 2020) veröffentlichte FireEye einen detaillierten Bericht über die SolarWinds-Kompromittierung, die sich auf Kunden des SolarWinds Orion-Produkts auswirkt. Censys führt regelmäßig internetweite Scans durch, um die gefährdeten Hosts und Dienste zu inventarisieren. Auf der Grundlage dieser Daten und der internetweiten Sichtbarkeit kann Censys die Auswirkungen dieser Kompromittierung durch öffentlich zugängliche Orion-Hosts und relevante C2-Informationen, die vom FireEye-Team bereitgestellt wurden, abschätzen.
SolarWinds sagt: "SolarWinds Orion ist eine IT-Leistungsüberwachungsplattform, die Unternehmen bei der Verwaltung und Optimierung ihrer IT-Infrastruktur unterstützt. SolarWinds bietet eine breite Palette von IT-Überwachungs- und Verwaltungslösungen." Die Orion-Plattform ist ein On-Premise-Produkt, das als Teil des IT-Ökosystems eines Unternehmens installiert wird.
Es wurde ein ausgeklügelter Angriff gestartet, bei dem bösartiger Code in eine DLL eingeschleust wurde, die in einem nachfolgenden SolarWinds-Update gesendet wurde. Bislang sind die Auswirkungen dieses Problems noch nicht vollständig bekannt. Erste Berichte der Washington Post, New York Times und Reuters deuten jedoch darauf hin, dass das Problem das US-Finanzministerium und das Handelsministerium sowie eine Reihe von Branchen wie Beratungs-, Technologie-, Telekommunikations- sowie Öl- und Gasunternehmen auf der ganzen Welt betrifft. Gemäß der SEC-Meldung vom 14. Dezember 2020 teilte SolarWinds mit, dass möglicherweise 18.000 seiner Kunden von dieser Kompromittierung betroffen sind.
Die CISA hat außerdem eine Notfallrichtlinie herausgegeben, in der der amtierende Direktor Brandon Wales wie folgt zitiert wird: "Die Kompromittierung der Orion-Netzwerkmanagementprodukte von SolarWinds stellt ein inakzeptables Risiko für die Sicherheit von Bundesnetzwerken dar ... Die heutige Richtlinie soll potenzielle Kompromittierungen in zivilen Bundesnetzwerken eindämmen, und wir fordern alle unsere Partner im öffentlichen und privaten Sektor auf, ihre Gefährdung durch diese Kompromittierung zu bewerten und ihre Netzwerke gegen jegliche Ausnutzung zu sichern."
Am 31. Dezember 2020 aktualisierte SolarWinds sein Sicherheitshinweis mit Details zu SUPERNOVA, einer Web-Shell, die von einem zweiten Bedrohungsakteur hinterlassen wurde. In diesem Fall zielte die Angriffsmethode direkt auf SolarWinds-Dienste ab, und zwar über eine bisher unbekannte (0day) Sicherheitslücke im SolarWinds Orion API-Dienst. Diese Schwachstelle (CVE-2020-10148) ermöglicht das Lesen von Dateien und die Ausführung von Befehlen als privilegierter Benutzer ohne Authentifizierung. Seit dem 28. Dezember 2020 gibt es einen öffentlich verfügbaren Exploit, der den Angriffsvektor demonstriert. Ein Patch für diese Sicherheitslücke wurde am 23. Dezember 2020 veröffentlicht. Benutzer von SolarWinds Orion werden dringend gebeten, diese Schwachstelle so schnell wie möglich zu patchen. Censys hat sich an mehrere Organisationen und Cloud-Anbieter gewandt, die öffentliche SolarWinds-Instanzen betreiben, um sie über diese neue Bedrohung und das Vorhandensein von SolarWinds zu informieren, das öffentlich zugänglich ist, sowie über Schritte zur Abschwächung oder Behebung des Problems.
Auf wen wirkt sich das aus?
Mit Stand vom 31. Januar 2021 identifizierte Censys 1.524 Orion-Hosts durch unseren internetweiten Scan. Wir verwendeten Abfragen auf unserem Universal Internet DataSet, einmal einschließlich neuer Scandaten von Port 17778, und suchten nach TLS-Zertifikaten und html-Tags, die mit SolarWinds Orion verbunden sind.
Weitere Untersuchungen ergaben, dass die meisten dieser Hosts in den Vereinigten Staaten ansässig sind. Nachstehend finden Sie eine weitere Aufschlüsselung, in der die 5 Länder mit der größten Anzahl von Hosts und dem größten prozentualen Anteil an der Gesamtzahl der Hosts hervorgehoben werden.
| Land |
# Anzahl der Hosts |
Prozentsatz der Gesamtmenge |
| Vereinigte Staaten |
543 |
36% |
| China |
49 |
3% |
| Vereinigtes Königreich |
85 |
6% |
| Iran |
42 |
3% |
| Australien |
40 |
3% |
Wir haben eine Stichprobe dieser Host-IP-Adressen genommen und die folgenden potenziell betroffenen Branchen ermittelt:
- Staatliche Organisationen
- Industrielle Güter und Dienstleistungen
- Verbraucherdienste
- Einzelhandel
- Gesundheitswesen
- Technologie
- Telekommunikation
- Liegenschaften
Was kann man dagegen tun?
Die US-Behörde für Cybersicherheit und Infrastruktursicherheit hat am späten Sonntag, den 13. Dezember 2020, eine erste Notfallrichtlinie und am 30. Dezember 2020 eine aktualisierte ergänzende Empfehlung herausgegeben. In der Richtlinie vom 30. Dezember wird darauf hingewiesen, dass "alle Bundesbehörden, die andere Versionen der SolarWinds Orion-Plattform als die als "betroffene Versionen" (siehe unten) gekennzeichneten betreiben, mindestens die SolarWinds Orion-Plattform Version 2020.2.1HF2 verwenden müssen". Einzelheiten zu den "betroffenen" Versionen entnehmen Sie bitte der ergänzenden Richtlinie.
Praktiker sollten auch nach Kompromittierungen suchen, indem sie in den Protokollen nach DNS-Auflösungen für die DGA C2-Domäne avsvmcloud[.]com suchen. Beispiele für aufgelöste Namen wurden bereits auf pastebin hochgeladen: https://pastebin.com/T0SRGkWq. FireEye hat auf seinem GitHub weitere Indikatoren (Yara, Snort, ClamAV, IOC) für die SUNBURST-Malware veröffentlicht.
Mehr erfahren
Weitere Informationen über den Kompromiss von SolarWinds finden Sie in den folgenden Ressourcen. Für alle Presseanfragen wenden Sie sich bitte an press@censys.io.
Geschichte aktualisieren
26. Januar 2021: Der Blog-Beitrag wurde aktualisiert, indem eine Abfrage auf unserem Universal Internet DataSet durchgeführt wurde, um Orion-Hosts mit Internetanschluss zu identifizieren.
19. Januar 2021: Der Blog-Beitrag wurde aktualisiert, indem eine Abfrage auf unserem Universal Internet DataSet durchgeführt wurde, um Orion-Hosts mit Internetanschluss zu identifizieren.
12. Januar 2021: Der Blog-Beitrag wurde aktualisiert, indem eine Abfrage auf unserem Universal Internet DataSet durchgeführt wurde, um Orion-Hosts mit Internetanschluss zu identifizieren.
4. Januar 2021: Aktualisierter Blog-Beitrag durch erneute Abfrage unseres Universal Internet DataSet, um einen Anstieg der sichtbaren Orion-Hosts, die im neuen Jahr online gehen, zu identifizieren.
30. Dezember 2020: Zusätzlicher Kontext und Ressourcen im Zusammenhang mit der Supplemental Notfall-Anweisung des DHS, die besagt, dass "angesichts der Anzahl und Art der aufgedeckten und nicht aufgedeckten Schwachstellen in SolarWinds Orion alle Instanzen, die mit Bundesnetzwerken verbunden bleiben, bis zum COB 31. Dezember 2020 auf 2020.2.1 HF2 aktualisiert werden müssen."
29. Dezember 2020: Censys hat eine zusätzliche Bestandsaufnahme der mit dem Internet verbundenen Orion-Hosts durchgeführt und den Kontext der jüngsten SUPERNOVA-Malware ergänzt.
21. Dezember 2020: Censys hat eine zusätzliche Bestandsaufnahme der mit dem Internet verbundenen Orion-Hosts durchgeführt.
16. Dezember 2020: Censys fügte Port 17778 zu den Scans unseres Universal Internet DataSet hinzu, das von SolarWinds zur Inventarisierung einer beträchtlichen Anzahl von Internet-Hosts in Verbindung mit SolarWinds Orion verwendet wird.
15. Dezember 2020: Erstmalige Veröffentlichung unseres Blogs ohne Port-Scanning-Daten von 17778.
