Publié dans Internet

9

Alerte de l’ANSSI : Centreon ciblé par des pirates, « plusieurs entités françaises » compromises

Alerte de l’ANSSI : Centreon ciblé par des pirates, « plusieurs entités françaises » compromises

Cette société propose une plateforme de supervision informatique utilisée par de grands groupes : BNP, EDF, Gaumont, ministère de la Justice, Orange, RATP, SoftBank, Thales, Total… Autant dire que cela en fait une cible de choix pour des pirates.

L’ANSSI a été informée « d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne ciblait le logiciel de supervision Centreon, édité par la société du même nom ». Les premières remontent à fin 2017, avec une activité jusqu’en 2020. Ces attaques ont « principalement touché des prestataires de services informatiques, notamment d’hébergement web ».

L’Agence a « constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET ».

Toujours selon l’ANSSI, « cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm ». Un rapport détaillé d’une quarantaine de pages donne des informations techniques.

9

Tiens, en parlant de ça :

L’entreprise MariaDB pourrait être rachetée

Fork le phoque ?

17:38 Éco 8
Dessin de Flock remplaçant les anneaux olympiques par des caméras de vidéosurveillance

« Vidéoprotection » : le ministère de l’Intérieur triple les subventions en prévision des JO

Plus vite, plus haut, plus fort…

16:21 ÉcoSécu 12
une jeune fille en filme une autre en train de danser avec un smartphone

Else, une application pour aider les familles à gérer le temps d’écran des enfants

Steuplait steuplait steuplait !

12:01 Société 24
9

Commentaires (9)


dylem29 Abonné
Le 16/02/2021 à 09h 12

D’ailleurs, quelqu’un sait comment activer l’envoi de mail avec la dernière version de Centreon? :D


Le 16/02/2021 à 11h 04

Hello, désolé dylem29, je te double avec une autre question : est-ce que l’utilisateur final risque quelque chose ou bien est-ce un risque lié aux entreprises sus-mentionnées ? merci


Le 16/02/2021 à 11h 57

(reply:1854752:prog-amateur)




C’est clairement l’analyse qui manque à cette brève qui aurait sans doute mérité un article si c’est le cas. Les clients BNP, EDF etc doivent-ils s’inquiéter ?


Le 16/02/2021 à 14h 33

Merci. Vaark a bien retranscrit mon idée initiale, l’utilisateur final pouvant être le voyageur RATP ou l’abonné Orange box/mobile par exemple. Ça permettrait de suivre pas mal de leurs déplacements et je ne parle pas des clients banques par exemple. Vu l’ampleur des acteurs concernés, il se peut qu’on ait droit à un article dédié ou une brève de suivi.


Le 16/02/2021 à 12h 00

D’après ce que j’en comprend, il s’agirait des versions antérieur a 2.5.2 (apparemment sorti en 2014 d’après https://github.com/centreon/centreon/releases/tag/2.5.2) qui serait touché.
Encore une histoire de non maintenance / mise a jour de la part de ces groupes.




(reply:1854709:dylem29) y’a un slack communautaire, ta question aurais surement plus de réponse la bas !



(reply:1854752:prog-amateur) qu’appelle tu ‘utilisateur final’ ? un client de ces groupes ? Je dirais que ça dépend de ce qui a été fait une fois la backdoor installé. Seul ces groupes seront capables de dire ce qui a été fait. A voir si ils vont communiquer si des données clients ont été volé.



traknar Abonné
Le 16/02/2021 à 12h 17

Le chemin de compromission n’est pas connu. Le logiciel ne semble donc pas avoir été backdoré comme SolarWinds. Et on ne sait donc pas si l’attaquant utilise une faille dans le logiciel, ou bien s’il a pris le contrôle des serveurs par un autre moyen et utilise Centreon pour se déplacer latéralement. C’est une cible de choix pour cette activité, comme tout autre solution de gestion centralisée de parc : serveurs de déploiement de patchs, scanners de vulnerabilités, serveurs Puppet/Ansible/Chef, software d’inventaire IT, ordonnanceurs de batch, contrôleurs de domaine, et aussi serveurs de CICD type GitLab ou Jenkins (surtout quand toute l’infra est déployée en l’infrastructure-as-code).



Côté versions, on n’a observé de compromission qu’avec des versions de Centreon inférieures ou égales à la 2.5.2, mais ce n’est qu’une somme d’observations, pas des conclusions : impossible de conclure tant qu’on ne connait pas le chemin de compromission.


refuznik Abonné
Le 16/02/2021 à 13h 28

La société Centreon a répondu en rejetant la faute sur un développeur tiers et ses principaux clients restant muets sur de potentiels impacts.



« Nous ne savons pas ce que c’est que ce module, mais il est absent des codes et plateformes produits par Centreon et la ligne de code sur laquelle il vient opérer est absente des solutions Centreon depuis 2015 », a affirmé l’entreprise qui a évoqué une « modification sauvage » de sa solution.



« Ce ne sont pas les utilisateurs commerciaux qui sont touchés », assure encore Centreon. « Pour les utilisateurs en open source, ils doivent vérifier que la date de leur logiciel est postérieure à 2015. Et nous les incitons à se méfier des intégrateurs tiers », conseille l’entreprise.



« Nous demandons à l’Anssi des éclaircissements sur ses méthodes d’investigation et sur les modifications apportées à nos solutions open source », a plaidé le porte-parole de Centreon, dénonçant une « mise en cause extrêmement dommageable » pour l’entreprise.


Oxygen Abonné
Le 16/02/2021 à 14h 43

Je copie colle ce que j’ai mis ailleurs:



Il serait utile d’éviter de relayer sans les analyser les publications en mode « whitepaper » de l’ANSSI.
En l’état, la « faille » vient d’une version de Centreon DE AOUT 2014.
Qui n’a donc jamais été mise à jour depuis.
Et qui avait une CVE Sev10 depuis OCTOBRE 2014.
Et corrigée en Octobre 2014 avec la release 2.5.3



Dans ces conditions, cette annonce de l’ANSSI est proche du ridicule.



===



Par contre, vous pouvez vous amuser sur les GROS soucis de traductions de cette publication:




Les serveurs compromis identifiés par l’ANSSI étaient sous le système d’exploitation CENTOS. Les installations de l’outil Centreon n’avaient pas été tenues à jour. Ainsi, sur les systèmes compromis étudiés, la version de Centreon la plus récente identifiée est la 2.5.2.




vs




Compromised servers identified by ANSSI ran the CENTOS operating system. Centreon was recently updated. The most recent installation version studied by ANSSI was 2.5.2.




C’est un epic fail. :‘(


Le 16/02/2021 à 15h 33

Il manquait donc bien une analyse !
Merci pour les précisions !