Esta entrada del blog se actualizó por última vez el:
1 de febrero de 2021
Esta será la última actualización del blog que resume nuestra visibilidad de los hosts Orion orientados a Internet desde mediados de diciembre hasta enero de 2021. Censys ha seguido actualizando este blog con el propósito de comprender las tendencias globales y el impacto en torno a los hosts Orion orientados a Internet.
A 31 de enero de 2021, Censys observó 1.524 hosts Orion en Internet. Las principales ubicaciones de estos hosts son las siguientes:
- Estados Unidos - 543
- Reino Unido - 85
- China - 49
- Irán - 42
- Australia - 40
Estos nuevos datos que utilizan nuestro Universal Internet DataSet sugieren un aumento en el número de hosts Orion orientados a Internet desde el inventario de todo Internet del 28 de diciembre de 2020, con las cosas aparentemente nivelándose a medida que cerramos enero.
En general, observamos una tendencia a la baja en los servidores Orion de cara al público durante las vacaciones, con un buen repunte a partir del nuevo año. Los hosts Orion no deberían estar orientados a Internet, por lo que es preocupante ver algún resultado en nuestros datos de escaneado a nivel de Internet. Sin embargo, dadas las tendencias que hemos observado desde mediados de diciembre, basándonos en nuestra investigación, planteamos la hipótesis de que el descenso y posterior repunte se deben a un fenómeno doble:
- Organizaciones que desmantelan servidores SolarWinds y los parchean, los vuelven a poner en línea, y
- Las organizaciones desconfiguran estos servidores exponiéndolos directamente a Internet donde antes no estaban expuestos.
La segunda hipótesis es especialmente preocupante, debido al hecho de que esto podría estar creando potencialmente nuevos vectores de ataque al ampliar su superficie de ataque. Además, dada la capacidad de Censysde realizar un escaneo de Internet independiente del puerto, proporcionando visibilidad de todos los hosts expuestos a Internet independientemente de los puertos, también encontramos intentos de "ocultar" servicios poniéndolos detrás de un puerto inusual.
Investigaciones posteriores descubrieron una tendencia similar desde mediados de diciembre con respecto a la diversidad de puertos. Al principio de nuestra investigación, vimos una pendiente descendente constante en los diferentes puertos utilizados para alojar servidores Orion, pero luego un aumento constante similar a partir del 29 de diciembre de 2020. Esto puede sugerir que a medida que las organizaciones parchean y vuelven a poner en línea sus hosts SolarWinds Orion, están utilizando puertos diferentes, que pueden no formar parte de sus reglas de filtrado.
Diversidad de puertos en distintos hosts Orion al día.
¿Cuál es el problema?
El domingo por la noche (13 de diciembre de 2020), FireEye publicó un informe detallado del compromiso de SolarWinds que afecta a los clientes del producto SolarWinds Orion. Censys realiza regularmente análisis en toda Internet para inventariar los hosts y servicios expuestos. Basándose en estos datos y en la visibilidad de Internet, Censys puede determinar el impacto de este ataque a través de los hosts Orion públicos y la información C2 relevante proporcionada por el equipo de FireEye.
Según SolarWinds, "SolarWinds Orion es una plataforma de monitorización del rendimiento de TI que ayuda a las empresas a gestionar y optimizar su infraestructura de TI. SolarWinds ofrece una amplia gama de soluciones de monitorización y gestión de TI". La plataforma Orion es un producto local que se instala como parte del ecosistema de TI de una organización.
Se lanzó un ataque sofisticado, mediante el cual se inyectó código malicioso en una DLL que se envió en una actualización posterior de SolarWinds. Hasta el momento, no se conoce del todo el impacto de este problema. Sin embargo, los primeros informes del Washington Post, el New York Times y Reuters indican que el problema afecta a los Departamentos del Tesoro y de Comercio de Estados Unidos, así como a una serie de sectores como la consultoría, la tecnología, las telecomunicaciones y las empresas de petróleo y gas de todo el mundo. De acuerdo con la presentación a la SEC el 14 de diciembre de 2020, SolarWinds compartió que potencialmente 18.000 de sus clientes se han visto afectados por este compromiso.
CISA también emitió una Directiva de Emergencia citando al Director en funciones Brandon Wales, "'El compromiso de SolarWinds' Orion Network Management Products plantea riesgos inaceptables para la seguridad de las redes federales ... La directiva de esta noche tiene por objeto mitigar los compromisos potenciales dentro de las redes civiles federales, e instamos a todos nuestros socios en los sectores público y privado para evaluar su exposición a este compromiso y asegurar sus redes contra cualquier explotación.'"
El 31 de diciembre de 2020, SolarWinds actualizó su aviso de seguridad con detalles sobre SUPERNOVA, un web shell dejado por un segundo actor de amenazas. En este caso, el método de ataque se dirigió directamente a los servicios de SolarWinds, a través de una vulnerabilidad previamente desconocida (0day) en el servicio SolarWinds Orion API. Esta vulnerabilidad, CVE-2020-10148, permite la lectura remota no autenticada de archivos y la ejecución de comandos como usuario privilegiado. Desde el 28 de diciembre de 2020, existe un exploit disponible públicamente que demuestra el vector de ataque. El 23 de diciembre de 2020 se publicó un parche para esta vulnerabilidad. Se insta a los usuarios de SolarWinds Orion a parchear este problema lo antes posible. Censys se ha puesto en contacto con varias organizaciones y proveedores de nube que tienen instancias públicas de SolarWinds para informarles de esta nueva amenaza, y de la existencia de SolarWinds expuesta públicamente, así como de los pasos para mitigar o remediar el problema.
¿A quién afecta?
A 31 de enero de 2021, Censys identificó 1.524 hosts Orion a través de nuestro escaneado de Internet. Usamos consultas en nuestro Universal Internet DataSet, incluyendo una vez nuevos datos de escaneo del puerto 17778, buscando certificados TLS y etiquetas html asociadas con SolarWinds Orion.
Una investigación adicional demostró que la mayoría de estos hosts se encuentran en Estados Unidos. A continuación se ofrece un desglose más detallado, en el que se destacan los 5 países con mayor número de hosts y porcentaje del total de hosts.
| País |
# Número de anfitriones |
Porcentaje del total |
| Estados Unidos |
543 |
36% |
| China |
49 |
3% |
| Reino Unido |
85 |
6% |
| Irán |
42 |
3% |
| Australia |
40 |
3% |
Tomamos una muestra de estas direcciones IP de host e identificamos las siguientes industrias potencialmente afectadas:
- Organizaciones gubernamentales
- Bienes y servicios industriales
- Servicios al consumidor
- Venta al por menor
- Sanidad
- Tecnología
- Telecomunicaciones
- Inmobiliario
¿Qué hacer al respecto?
La Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE.UU. emitió una Directiva de Emergencia inicial a última hora del domingo 13 de diciembre de 2020 y posteriormente un Aviso Suplementario actualizado el 30 de diciembre de 2020. La directiva del 30 de diciembre informaba de que "todas las agencias federales que utilicen versiones de la plataforma SolarWinds Orion distintas de las identificadas como "versiones afectadas" (a continuación) deben utilizar al menos la versión 2020.2.1HF2 de la plataforma SolarWinds Orion". Consulte la directiva complementaria para obtener información detallada sobre las versiones "afectadas".
Los profesionales también deberían comprobar si existe un compromiso consultando los registros de resoluciones DNS del dominio C2 de la DGA, avsvmcloud[.]com. Ya se han subido muestras de nombres resueltos a pastebin: https://pastebin.com/T0SRGkWq. FireEye ha publicado indicadores adicionales (Yara, Snort, ClamAV, IOC) en su GitHub para el malware SUNBURST.
Más información
Para más información sobre el compromiso de SolarWinds, consulte los recursos que figuran a continuación. Para cualquier consulta de prensa, póngase en contacto con press@censys.io.
Historial de actualizaciones
26 de enero de 2021: Se ha actualizado la entrada del blog volviendo a ejecutar una consulta en nuestro conjunto de datos universal de Internet para identificar los hosts Orion con acceso a Internet.
19 de enero de 2021: Se ha actualizado la entrada del blog volviendo a ejecutar una consulta en nuestro conjunto de datos universal de Internet para identificar los hosts Orion con acceso a Internet.
12 de enero de 2021: Se ha actualizado la entrada del blog volviendo a ejecutar una consulta en nuestro conjunto de datos universal de Internet para identificar los hosts Orion con conexión a Internet.
4 de enero de 2021: Actualización de la entrada del blog volviendo a ejecutar una consulta en nuestro Universal Internet DataSet para identificar un aumento de hosts Orion visibles que se conectan a Internet en el nuevo año.
30 de diciembre de 2020: Contexto añadido y recursos relacionados con la Directiva de Directiva de emergencia suplementaria del DHS en la que se indica que, "dado el número y la naturaleza de las vulnerabilidades reveladas y no reveladas en SolarWinds Orion, todas las instancias que permanezcan conectadas a redes federales deben actualizarse a 2020.2.1 HF2 antes del COB 31 de diciembre de 2020".
29 de diciembre de 2020: Censys realizó un inventario adicional de los hosts Orion con acceso a Internet y añadió contexto en torno al reciente malware SUPERNOVA.
21 de diciembre de 2020: Censys realizó un inventario adicional de los hosts Orion conectados a Internet.
16 de diciembre de 2020: Censys añadió el puerto 17778 a las exploraciones de nuestro Universal Internet DataSet utilizado por SolarWinds para inventariar un número significativo de hosts orientados a Internet asociados a SolarWinds Orion.
15 de diciembre de 2020: Publicación inicial de nuestro blog sin datos de escaneo de puertos de 17778.
