Ir al contenido
Nuevo informe: Consiga su copia del Informe sobre el estado de Internet 2024. | Descargar hoy
Blogs

Guía rápida: Uso de la nueva búsqueda 2.0 para identificar la infraestructura SolarWinds Orion

Esta es una guía rápida con la sintaxis de consulta traducida para la nueva Censys Búsqueda 2.0 que es gratuita para los usuarios de la comunidad. Las siguientes consultas ayudan a los profesionales a identificar posibles activos y otras infraestructuras asociadas a SolarWinds Orion. Para obtener más información sobre el incidente de SolarWinds y su impacto global, consulte nuestro artículo detallado aquí.

1. Encuentre activos SolarWinds Orion expuestos en todo el mundo.

Esta búsqueda identifica los activos de SolarWinds Orion expuestos en Internet. Censys La búsqueda puede utilizarse para buscar aquellos activos expuestos que puedan pertenecer a su organización. Si encuentra un activo SolarWinds expuesto que es suyo, le recomendamos que siga la Directiva de Emergencia y la guía de CISA.

A continuación se muestra una comparación y traducción de la sintaxis de consulta entre la antigua aplicación de búsqueda Censys y Censys Search 2.0:

Antigua aplicación de búsqueda: En la antigua búsqueda de Censys , esto se limitaba a los servicios HTTP que se ejecutaban en los puertos 443 y 8080.

443.https.get.title: "SolarWinds Orion" O 80.https.get.title: "SolarWinds Orion" O 8080.http.get.title: "SolarWinds Orion"

Resultados (20 de mayo de 2021): 470

Nueva búsqueda 2.0: Nuevo Censys Search 2.0 escanea 2.500 puertos con detección automática de protocolos, lo que significa que puede identificar los servicios que se ejecutan en puertos no estándar.

services.http.response.html_title: "SolarWinds Orion"

Resultados (20 de mayo de 2021): 1,051

2. Buscar activos mediante certificados RDP asociados a "SolarWinds-Orion".

El exploit SolarWinds Orion aprovecha los hosts C2 que presentan certificados RDP, como se destacó en el análisis de FireEye en diciembre de 2020. Esta búsqueda identifica cualquier host en Internet que se identifique como "SolarWinds-Orion" a través de un certificado en RDP. Los hosts identificados en esta búsqueda pueden ser infraestructura de atacantes - informe y comparta esta información en los canales apropiados de intercambio de información sobre amenazas y/o posiblemente a las autoridades.

A continuación se muestra una comparación y traducción de la sintaxis de consulta entre la antigua aplicación de búsqueda Censys y Censys Search 2.0:

Antigua aplicación de búsqueda

3389.rdp.banner.tls.certificate.parsed.issuer_dn: "CN=SolarWinds-Orion"

Resultados (20 de mayo de 2021): 1

Nueva búsqueda 2.0

same_service("CN=SolarWinds-Orion" and services.service_name: RDP)

Resultados (20 de mayo de 2021): 1

3. Buscar cualquier certificado "SolarWinds-Orion" presentado a través de cualquier puerto.

A continuación se muestra una comparación y traducción de la sintaxis de consulta entre la antigua aplicación de búsqueda Censys y la nueva Censys Search 2.0.

Antigua aplicación de búsqueda

"CN=SolarWinds-Orion"

Resultados (20 de mayo de 2021): 48

Nueva Búsqueda 2.0: Con la Búsqueda 2.0, la detección automática de protocolos permite a Censys encontrar más servicios y certificados que en la antigua aplicación de Búsqueda.

"SolarWinds-Orion"

Resultados (20 de mayo de 2021): 670

Para obtener más información sobre la Búsqueda 2.0, consulte nuestro Centro de ayuda. Si está interesado en obtener más información sobre Censys Search 2.0, visite nuestro sitio web hoy mismo.

Soluciones de gestión de la superficie de ataque
Más información