Cet article de blog a été mis à jour pour la dernière fois le :
1er février 2021
Il s'agit de la dernière mise à jour du blog résumant notre visibilité des hôtes Orion faisant face à Internet de la mi-décembre à janvier 2021. Censys a continué à mettre à jour ce blog dans le but de comprendre les tendances globales et l'impact des hôtes Orion faisant face à Internet.
Au 31 janvier 2021, Censys a observé 1 524 hôtes Orion sur Internet. Les principales localisations de ces hôtes sont les suivantes :
- États-Unis - 543
- Royaume-Uni - 85
- Chine - 49
- Iran - 42
- Australie - 40
Ces nouvelles données utilisant notre ensemble de données Internet universel suggèrent une augmentation du nombre d'hôtes Orion faisant face à Internet depuis l'inventaire Internet du 28 décembre 2020, les choses semblant se stabiliser à la fin du mois de janvier.
Dans l'ensemble, nous avons constaté une tendance à la baisse des serveurs Orion orientés vers le public à l'approche des fêtes de fin d'année, avec une bonne remontée au début de la nouvelle année. Les hôtes Orion ne devraient pas être en contact avec l'internet, il est donc inquiétant de voir des résultats dans nos données de balayage à l'échelle de l'internet. Toutefois, compte tenu des tendances observées depuis la mi-décembre, notre enquête nous a permis de formuler l'hypothèse que la baisse et la hausse ultérieure sont dues à un phénomène en deux parties :
- Les organisations démontent les serveurs SolarWinds et les corrigent, puis les remettent en ligne, et
- Les organisations configurent mal ces serveurs en les exposant directement à l'internet alors qu'ils n'y étaient pas exposés auparavant.
La seconde hypothèse est particulièrement inquiétante, car elle pourrait potentiellement créer de nouveaux vecteurs d'attaque en élargissant leur surface d'attaque. En outre, compte tenu de la capacité de Censysà effectuer un balayage Internet indépendant des ports, offrant une visibilité de tous les hôtes exposés à Internet indépendamment des ports, nous avons également constaté des tentatives de "dissimuler" des services en les plaçant derrière un port inhabituel.
Une enquête plus approfondie a révélé une tendance similaire depuis la mi-décembre en ce qui concerne la diversité des ports. Au début de notre enquête, nous avons constaté une baisse régulière des différents ports utilisés pour héberger les serveurs Orion, puis une augmentation régulière similaire à partir du 29 décembre 2020. Cela peut suggérer que lorsque les organisations appliquent des correctifs et remettent en ligne leurs hôtes SolarWinds Orion, elles utilisent des ports différents, qui ne font peut-être pas partie de leurs règles de filtrage.
Diversité des ports sur différents hôtes Orion par jour.
Quel est le problème ?
Dimanche soir (13 décembre 2020), FireEye a publié un compte-rendu détaillé de la compromission de SolarWinds qui affecte les clients du produit SolarWinds Orion. Censys effectue régulièrement des analyses à l'échelle de l'Internet afin d'inventorier les hôtes et les services exposés. Sur la base de ces données et de la visibilité à l'échelle de l'Internet, Censys peut se faire une idée de l'impact de cette compromission sur les hôtes Orion accessibles au public et sur les informations C2 pertinentes fournies par l'équipe FireEye.
Selon SolarWinds, "SolarWinds Orion est une plate-forme de surveillance des performances informatiques qui aide les entreprises à gérer et à optimiser leur infrastructure informatique. SolarWinds propose une large gamme de solutions de surveillance et de gestion des technologies de l'information". La plate-forme Orion est un produit sur site qui est installé dans le cadre de l'écosystème informatique d'une organisation.
Une attaque sophistiquée a été lancée, par laquelle un code malveillant a été injecté dans une DLL qui a été envoyée dans une mise à jour ultérieure de SolarWinds. Jusqu'à présent, l'impact de ce problème n'est pas entièrement compris. Toutefois, les premiers rapports du Washington Post, du New York Times et de Reuters indiquent que le problème touche les départements du Trésor et du Commerce des États-Unis, ainsi qu'un certain nombre d'industries telles que les sociétés de conseil, de technologie, de télécommunications, de pétrole et de gaz dans le monde entier. Selon la déclaration à la SEC du 14 décembre 2020, SolarWinds a indiqué que 18 000 de ses clients avaient été touchés par cette compromission.
La CISA a également publié une directive d'urgence citant le directeur intérimaire Brandon Wales, "'La compromission des produits de gestion de réseau Orion de SolarWinds pose des risques inacceptables pour la sécurité des réseaux fédéraux ... La directive de ce soir vise à atténuer les compromissions potentielles au sein des réseaux civils fédéraux, et nous exhortons tous nos partenaires - dans les secteurs public et privé - à évaluer leur exposition à cette compromission et à sécuriser leurs réseaux contre toute exploitation'".
Le 31 décembre 2020, SolarWinds a mis à jour son avis de sécurité avec des détails sur SUPERNOVA, un shell web laissé par un deuxième acteur de la menace. Dans ce cas, la méthode d'attaque visait directement les services SolarWinds, par le biais d'une vulnérabilité précédemment inconnue (0day) dans le service SolarWinds Orion API. Cette vulnérabilité, CVE-2020-10148, permet la lecture de fichiers à distance non authentifiés et l'exécution de commandes en tant qu'utilisateur privilégié. En date du 28 décembre 2020, il existe un exploit accessible au public démontrant le vecteur d'attaque. Un correctif pour cette vulnérabilité a été publié le 23 décembre 2020. Les utilisateurs de SolarWinds Orion sont invités à corriger ce problème dès que possible. Censys a contacté plusieurs organisations et fournisseurs de cloud qui ont des instances SolarWinds tournées vers le public pour les informer de cette nouvelle menace, et de l'existence de SolarWinds exposé publiquement, ainsi que des étapes pour atténuer ou remédier au problème.
Qui est concerné ?
Au 31 janvier 2021, Censys a identifié 1 524 hôtes Orion grâce à notre analyse de l'ensemble de l'Internet. Nous avons utilisé des requêtes sur notre ensemble de données Internet universel, en incluant une fois les nouvelles données de balayage du port 17778, à la recherche de certificats TLS et de balises html associés à SolarWinds Orion.
Une enquête complémentaire a montré que la majorité de ces hôtes sont situés aux États-Unis. Une analyse plus détaillée est présentée ci-dessous, mettant en évidence les cinq pays qui comptent le plus grand nombre d'hôtes et le plus grand pourcentage du nombre total d'hôtes.
| Pays |
# Nombre d'hôtes |
Pourcentage du total |
| États-Unis |
543 |
36% |
| Chine |
49 |
3% |
| Royaume-Uni |
85 |
6% |
| L'Iran |
42 |
3% |
| Australie |
40 |
3% |
Nous avons prélevé un échantillon de ces adresses IP hôtes et identifié les secteurs d'activité suivants potentiellement concernés :
- Organisations gouvernementales
- Biens et services industriels
- Services aux consommateurs
- Vente au détail
- Soins de santé
- Technologie
- Télécommunications
- Immobilier
Que faire ?
L'agence américaine de cybersécurité et de sécurité des infrastructures a publié une première directive d'urgence le dimanche 13 décembre 2020 en fin de journée, puis un avis supplémentaire mis à jour le 30 décembre 2020. La directive du 30 décembre indiquait que "toutes les agences fédérales utilisant des versions de la plateforme SolarWinds Orion autres que celles identifiées comme "versions affectées" (ci-dessous) sont tenues d'utiliser au moins la version 2020.2.1HF2 de la plateforme SolarWinds Orion". Veuillez consulter la directive complémentaire pour plus de détails sur les versions "concernées".
Les praticiens devraient également vérifier s'il y a eu compromission en examinant les journaux des résolutions DNS vers le domaine C2 de la DGA, avsvmcloud[.]com. Des exemples de noms résolus ont déjà été téléchargés sur pastebin: https://pastebin.com/T0SRGkWq. FireEye a publié des indicateurs supplémentaires (Yara, Snort, ClamAV, IOC) sur son GitHub pour le malware SUNBURST.
En savoir plus
Pour plus d'informations sur le compromis de SolarWinds, veuillez trouver les ressources ci-dessous. Pour toute question de presse, veuillez contacter press@censys.io.
Historique des mises à jour
26 janvier 2021 : Mise à jour de l'article de blog en ré-exécutant une requête sur notre jeu de données Internet universel pour identifier les hôtes Orion faisant face à l'Internet.
19 janvier 2021 : Mise à jour de l'article de blog en ré-exécutant une requête sur notre jeu de données Internet universel pour identifier les hôtes Orion faisant face à l'Internet.
12 janvier 2021 : Mise à jour de l'article de blog en ré-exécutant une requête sur notre jeu de données Internet universel pour identifier les hôtes Orion faisant face à l'Internet.
4 janvier 2021 : Mise à jour de l'article de blog en ré-exécutant une requête sur notre Universal Internet DataSet afin d'identifier une augmentation des hôtes Orion visibles et orientés vers l'Internet qui seront mis en ligne au cours de la nouvelle année.
30 décembre 2020 : Ajout du contexte et des ressources liés à la directive d'urgence supplémentaire (Supplemental Emergency Directive). Directive d'urgence supplémentaire du DHS indiquant que "compte tenu du nombre et de la nature des vulnérabilités divulguées et non divulguées dans SolarWinds Orion, toutes les instances qui restent connectées aux réseaux fédéraux doivent être mises à jour vers 2020.2.1 HF2 d'ici COB le 31 décembre 2020".
29 décembre 2020: Censys a effectué un inventaire supplémentaire des hôtes Orion faisant face à l'Internet et a ajouté le contexte du récent logiciel malveillant SUPERNOVA.
21 décembre 2020 : Censys a effectué un inventaire supplémentaire des hôtes Orion faisant face à l'Internet.
16 décembre 2020 : Censys a ajouté le port 17778 aux scans de notre Universal Internet DataSet utilisé par SolarWinds pour inventorier un nombre important d'hôtes faisant face à Internet associés à SolarWinds Orion.
15 décembre 2020 : Publication initiale de notre blog sans les données de balayage de port de 17778.
