El compromiso de SolarWinds Orion ha afectado potencialmente a 18.000 clientes en todo el mundo, incluyendo agencias gubernamentales y empresas de Fortune 500. Censys actualmente ve 1.336 hosts Orion a partir del 29 de diciembre de 2020. Las principales ubicaciones de estos hosts son las siguientes:. Esto es muy preocupante debido al hecho de que estos hosts no deberían estar orientados a Internet y podrían estar comunicándose con los servidores C2 del adversario.
Anfitriones Orion activos en Internet a 21 de diciembre de 2020.
Sabemos que cuando se produce un ataque de esta envergadura, es crucial trabajar juntos como comunidad para comprender el impacto. Censys se compromete a apoyar a nuestros clientes y a la comunidad lo mejor que pueda. Aunque todavía se desconoce mucho, Censys tiene una visibilidad inigualable en Internet que puede ayudar a las investigaciones en curso, tanto por parte de los defensores como de los investigadores de amenazas. Nuestro objetivo es seguir proporcionando información y herramientas valiosas a estos grupos.
Hemos notificado a los clientes de Censys ASM Platform sobre el compromiso de SolarWinds Orion y cualquier impacto potencial en su red. También estamos ofreciendo una evaluación de la superficie de ataque y 30 días de monitorización a través de nuestra Plataforma ASM a los clientes Enterprise y Pro Data. Esperamos que esta visibilidad mejorada permita a los responsables de la respuesta remediar más rápidamente y comprender las acciones que deben tomar para asegurar su superficie de ataque.
Para apoyar a la comunidad en general, hemos publicado Censys Search Free / Pro queries that defenders and threat researchers can utilize to identify Orion-associated infrastructure visible on the Internet. También hemos empezado a notificar a las empresas probablemente vulnerables que controlan uno de los 1.336 hosts SolarWinds Orion activos que hemos descubierto en nuestros escaneos de Internet. Más detalles sobre los hosts vulnerables que hemos encontrado, nuestro enfoque y análisis se pueden encontrar aquí y seguirán siendo actualizados. El impacto total es aún desconocido y las organizaciones deben seguir la Directiva de Emergencia CISA revisada por última vez el domingo 14 de diciembre de 2020.
Esperamos poder ayudarle en sus esfuerzos por identificar activos, pero le animamos a que siga las directrices descritas en los recursos que figuran a continuación para obtener más orientación:
