La compromission de SolarWinds Orion a affecté potentiellement 18 000 clients dans le monde entier, y compris des agences gouvernementales et des entreprises du Fortune 500. Censys voit actuellement 1 336 hôtes Orion en date du 29 décembre 2020. Les principaux emplacements de ces hôtes sont les suivants :. Ceci est très inquiétant car ces hôtes ne devraient pas être orientés vers l'Internet et pourraient potentiellement communiquer avec les serveurs C2 de l'adversaire.
Nous savons que lorsqu'une compromission de cette ampleur se produit, il est crucial de travailler ensemble en tant que communauté pour en comprendre l'impact. Censys s'engage à soutenir ses clients et la communauté du mieux qu'elle peut. Bien que beaucoup de choses restent inconnues, Censys dispose d'une visibilité inégalée sur Internet qui peut aider les défenseurs et les chercheurs en matière de menaces à mener à bien leurs enquêtes. Notre objectif est de continuer à fournir des informations et des outils précieux à ces groupes.
Nous avons informé les clients de Censys ASM Platform de la compromission de SolarWinds Orion et de l'impact potentiel sur leur réseau. Nous offrons également une évaluation de la surface d'attaque et 30 jours de surveillance via notre plateforme ASM aux clients Enterprise et Pro Data. Nous espérons que cette meilleure visibilité permettra aux intervenants de remédier plus rapidement à la situation et de comprendre les mesures à prendre pour sécuriser leur surface d'attaque.
Pour soutenir la communauté au sens large, nous avons publié Censys Search Free / Pro queries que les défenseurs et les chercheurs de menaces peuvent utiliser pour identifier l'infrastructure associée à Orion visible sur Internet. Nous avons également commencé à informer les entreprises susceptibles d'être vulnérables qui contrôlent l'un des 1 336 hôtes SolarWinds Orion actifs que nous avons découverts lors de nos analyses sur l'ensemble de l'Internet. De plus amples détails sur les hôtes vulnérables que nous avons trouvés, notre approche et notre analyse sont disponibles ici et continueront d'être mis à jour. L'impact total est encore inconnu et les organisations doivent suivre la directive d'urgence de la CISA, révisée pour la dernière fois le dimanche 14 décembre 2020.
Nous espérons vous aider dans vos efforts d'identification des actifs, mais nous vous encourageons à suivre les directives décrites dans les ressources ci-dessous pour plus d'informations :