Cette société propose une plateforme de supervision informatique utilisée par de grands groupes : BNP, EDF, Gaumont, ministère de la Justice, Orange, RATP, SoftBank, Thales, Total… Autant dire que cela en fait une cible de choix pour des pirates.
L’ANSSI a été informée « d’une campagne de compromission touchant plusieurs entités françaises. Cette campagne ciblait le logiciel de supervision Centreon, édité par la société du même nom ». Les premières remontent à fin 2017, avec une activité jusqu’en 2020. Ces attaques ont « principalement touché des prestataires de services informatiques, notamment d’hébergement web ».
L’Agence a « constaté sur les systèmes compromis l’existence d’une porte dérobée de type webshell, déposée sur plusieurs serveurs Centreon exposés sur internet. Cette porte dérobée a été identifiée comme étant le webshell P.A.S. dans sa version 3.1.4. Sur ces mêmes systèmes, l’ANSSI a identifié la présence d’une autre porte dérobée nommée Exaramel par l’éditeur ESET ».
Toujours selon l’ANSSI, « cette campagne présente de nombreuses similarités avec des campagnes antérieures du mode opératoire Sandworm ». Un rapport détaillé d’une quarantaine de pages donne des informations techniques.
Commentaires (9)
D’ailleurs, quelqu’un sait comment activer l’envoi de mail avec la dernière version de Centreon?
Hello, désolé dylem29, je te double avec une autre question : est-ce que l’utilisateur final risque quelque chose ou bien est-ce un risque lié aux entreprises sus-mentionnées ? merci
C’est clairement l’analyse qui manque à cette brève qui aurait sans doute mérité un article si c’est le cas. Les clients BNP, EDF etc doivent-ils s’inquiéter ?
Merci. Vaark a bien retranscrit mon idée initiale, l’utilisateur final pouvant être le voyageur RATP ou l’abonné Orange box/mobile par exemple. Ça permettrait de suivre pas mal de leurs déplacements et je ne parle pas des clients banques par exemple. Vu l’ampleur des acteurs concernés, il se peut qu’on ait droit à un article dédié ou une brève de suivi.
D’après ce que j’en comprend, il s’agirait des versions antérieur a 2.5.2 (apparemment sorti en 2014 d’après https://github.com/centreon/centreon/releases/tag/2.5.2) qui serait touché.
Encore une histoire de non maintenance / mise a jour de la part de ces groupes.
Le chemin de compromission n’est pas connu. Le logiciel ne semble donc pas avoir été backdoré comme SolarWinds. Et on ne sait donc pas si l’attaquant utilise une faille dans le logiciel, ou bien s’il a pris le contrôle des serveurs par un autre moyen et utilise Centreon pour se déplacer latéralement. C’est une cible de choix pour cette activité, comme tout autre solution de gestion centralisée de parc : serveurs de déploiement de patchs, scanners de vulnerabilités, serveurs Puppet/Ansible/Chef, software d’inventaire IT, ordonnanceurs de batch, contrôleurs de domaine, et aussi serveurs de CICD type GitLab ou Jenkins (surtout quand toute l’infra est déployée en l’infrastructure-as-code).
Côté versions, on n’a observé de compromission qu’avec des versions de Centreon inférieures ou égales à la 2.5.2, mais ce n’est qu’une somme d’observations, pas des conclusions : impossible de conclure tant qu’on ne connait pas le chemin de compromission.
La société Centreon a répondu en rejetant la faute sur un développeur tiers et ses principaux clients restant muets sur de potentiels impacts.
« Nous ne savons pas ce que c’est que ce module, mais il est absent des codes et plateformes produits par Centreon et la ligne de code sur laquelle il vient opérer est absente des solutions Centreon depuis 2015 », a affirmé l’entreprise qui a évoqué une « modification sauvage » de sa solution.
« Ce ne sont pas les utilisateurs commerciaux qui sont touchés », assure encore Centreon. « Pour les utilisateurs en open source, ils doivent vérifier que la date de leur logiciel est postérieure à 2015. Et nous les incitons à se méfier des intégrateurs tiers », conseille l’entreprise.
« Nous demandons à l’Anssi des éclaircissements sur ses méthodes d’investigation et sur les modifications apportées à nos solutions open source », a plaidé le porte-parole de Centreon, dénonçant une « mise en cause extrêmement dommageable » pour l’entreprise.
Je copie colle ce que j’ai mis ailleurs:
Il serait utile d’éviter de relayer sans les analyser les publications en mode « whitepaper » de l’ANSSI.
En l’état, la « faille » vient d’une version de Centreon DE AOUT 2014.
Qui n’a donc jamais été mise à jour depuis.
Et qui avait une CVE Sev10 depuis OCTOBRE 2014.
Et corrigée en Octobre 2014 avec la release 2.5.3
Dans ces conditions, cette annonce de l’ANSSI est proche du ridicule.
===
Par contre, vous pouvez vous amuser sur les GROS soucis de traductions de cette publication:
vs
C’est un epic fail. :‘(
Il manquait donc bien une analyse !
Merci pour les précisions !