Connexion
Abonnez-vous

Alerte de l’ANSSI : Centreon ciblé par des pirates, « plusieurs entités françaises » compromises

Alerte de l’ANSSI : Centreon ciblé par des pirates, « plusieurs entités françaises » compromises

Le 16 février 2021 à 08h43

Cette société propose une plateforme de supervision informatique utilisée par de grands groupes : BNP, EDF, Gaumont, ministère de la Justice, Orange, RATP, SoftBank, Thales, Total… Autant dire que cela en fait une cible de choix pour des pirates.

L’ANSSI a été informée « d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne ciblait le logiciel de supervision Centreon, édité par la société du même nom ». Les premières remontent à fin 2017, avec une activité jusqu’en 2020. Ces attaques ont « principalement touché des prestataires de services informatiques, notamment d’hébergement web ».

L’Agence a « constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET ».

Toujours selon l’ANSSI, « cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm ». Un rapport détaillé d’une quarantaine de pages donne des informations techniques.

Le 16 février 2021 à 08h43

Commentaires (9)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

D’ailleurs, quelqu’un sait comment activer l’envoi de mail avec la dernière version de Centreon? :D

votre avatar

Hello, désolé dylem29, je te double avec une autre question : est-ce que l’utilisateur final risque quelque chose ou bien est-ce un risque lié aux entreprises sus-mentionnées ? merci

votre avatar

(reply:1854752:prog-amateur)


C’est clairement l’analyse qui manque à cette brève qui aurait sans doute mérité un article si c’est le cas. Les clients BNP, EDF etc doivent-ils s’inquiéter ?

votre avatar

Merci. Vaark a bien retranscrit mon idée initiale, l’utilisateur final pouvant être le voyageur RATP ou l’abonné Orange box/mobile par exemple. Ça permettrait de suivre pas mal de leurs déplacements et je ne parle pas des clients banques par exemple. Vu l’ampleur des acteurs concernés, il se peut qu’on ait droit à un article dédié ou une brève de suivi.

votre avatar

D’après ce que j’en comprend, il s’agirait des versions antérieur a 2.5.2 (apparemment sorti en 2014 d’après https://github.com/centreon/centreon/releases/tag/2.5.2) qui serait touché.
Encore une histoire de non maintenance / mise a jour de la part de ces groupes.




(reply:1854709:dylem29) y’a un slack communautaire, ta question aurais surement plus de réponse la bas !



(reply:1854752:prog-amateur) qu’appelle tu ‘utilisateur final’ ? un client de ces groupes ? Je dirais que ça dépend de ce qui a été fait une fois la backdoor installé. Seul ces groupes seront capables de dire ce qui a été fait. A voir si ils vont communiquer si des données clients ont été volé.


votre avatar

Le chemin de compromission n’est pas connu. Le logiciel ne semble donc pas avoir été backdoré comme SolarWinds. Et on ne sait donc pas si l’attaquant utilise une faille dans le logiciel, ou bien s’il a pris le contrôle des serveurs par un autre moyen et utilise Centreon pour se déplacer latéralement. C’est une cible de choix pour cette activité, comme tout autre solution de gestion centralisée de parc : serveurs de déploiement de patchs, scanners de vulnerabilités, serveurs Puppet/Ansible/Chef, software d’inventaire IT, ordonnanceurs de batch, contrôleurs de domaine, et aussi serveurs de CICD type GitLab ou Jenkins (surtout quand toute l’infra est déployée en l’infrastructure-as-code).



Côté versions, on n’a observé de compromission qu’avec des versions de Centreon inférieures ou égales à la 2.5.2, mais ce n’est qu’une somme d’observations, pas des conclusions : impossible de conclure tant qu’on ne connait pas le chemin de compromission.

votre avatar

La société Centreon a répondu en rejetant la faute sur un développeur tiers et ses principaux clients restant muets sur de potentiels impacts.



« Nous ne savons pas ce que c’est que ce module, mais il est absent des codes et plateformes produits par Centreon et la ligne de code sur laquelle il vient opérer est absente des solutions Centreon depuis 2015 », a affirmé l’entreprise qui a évoqué une « modification sauvage » de sa solution.



« Ce ne sont pas les utilisateurs commerciaux qui sont touchés », assure encore Centreon. « Pour les utilisateurs en open source, ils doivent vérifier que la date de leur logiciel est postérieure à 2015. Et nous les incitons à se méfier des intégrateurs tiers », conseille l’entreprise.



« Nous demandons à l’Anssi des éclaircissements sur ses méthodes d’investigation et sur les modifications apportées à nos solutions open source », a plaidé le porte-parole de Centreon, dénonçant une « mise en cause extrêmement dommageable » pour l’entreprise.

votre avatar

Je copie colle ce que j’ai mis ailleurs:



Il serait utile d’éviter de relayer sans les analyser les publications en mode « whitepaper » de l’ANSSI.
En l’état, la « faille » vient d’une version de Centreon DE AOUT 2014.
Qui n’a donc jamais été mise à jour depuis.
Et qui avait une CVE Sev10 depuis OCTOBRE 2014.
Et corrigée en Octobre 2014 avec la release 2.5.3



Dans ces conditions, cette annonce de l’ANSSI est proche du ridicule.



===



Par contre, vous pouvez vous amuser sur les GROS soucis de traductions de cette publication:




Les serveurs compromis identifiés par l’ANSSI étaient sous le système d’exploitation CENTOS. Les installations de l’outil Centreon n’avaient pas été tenues à jour. Ainsi, sur les systèmes compromis étudiés, la version de Centreon la plus récente identifiée est la 2.5.2.


vs




Compromised servers identified by ANSSI ran the CENTOS operating system. Centreon was recently updated. The most recent installation version studied by ANSSI was 2.5.2.


C’est un epic fail. :‘(

votre avatar

Il manquait donc bien une analyse !
Merci pour les précisions !

Alerte de l’ANSSI : Centreon ciblé par des pirates, « plusieurs entités françaises » compromises

Fermer