ANSSI : une cyberattaque importante vise les serveurs Centreon obsolètes

Par l'intermédiaire du site CERT-FR, l'ANSSI a publié un nouveau rapport qui évoque une campagne de cyberattaques qui visent les serveurs de supervision Centreon, dans le but de compromettre des entreprises françaises.

D'après l'ANSSI, cette attaque a touché principalement des prestataires de services notamment dans le domaine de l'hébergement Web. Cette cyberattaque n'est pas nouvelle puisqu'elle est active depuis fin 2017 et son activité a cessé en 2020.

Sur les serveurs Centreon compromis, qui au passage sont des serveurs publiés sur Internet, l'ANSSI a remarqué la présence de deux portes dérobées de type webshell. Ceci permet aux attaquants d'avoir un accès au système à distance, à l'aide d'une page web puisque Centreon est accessible en mode web. La première porte dérobée est P.A.S dans sa version 3.1.4 alors que la seconde souche malveillante se nomme Exaramel, il s'agit d'un nom donné par ESET lors de sa découverte en 2018.

En plus d'être disponible sur Internet, les serveurs Centreon compromis n'étaient pas à jour ! Les équipes de l'ANSSI ont relevé que la version la plus récente trouvée sur les serveurs compromis était la version 2.5.2 de Centreon. Il s'agit d'une version sortie en novembre 2014 et qui n'est plus supportée depuis plus de 5 ans. En fait, depuis Centreon a publié pas moins de 8 versions majeures.

Le risque, puisque cette attaque cible des prestataires de services, c'est qu'il y ait des attaques par rebond contre des entreprises intégrées au sein des systèmes de supervision compromis. La liste des victimes est relativement floue. Si l'on s'intéresse aux clients de Centreon, on peut lire de grands noms comme AccorHotel, Airbus, EDF ou encore RATP. De son côté, Centreon indique avoir échangé avec l'ANSSI ces dernières 24 heures et affirme qu'il n'y a pas eu de clients directs de Centreon compromis dans le cadre de cette cyberattaque.

Dans son rapport, l'ANSSI mentionne "Sandworm" des dizaines de fois. Un groupe de hackers rattaché à la Russie et qui pourrait être à l'origine de ces attaques. En tout cas, c'est le mode opératoire "Sandworm" qui est évoqué, ce qui ne veut pas dire directement qu'ils en sont à l'origine.

Ces attaques qui ciblent les serveurs Centreon sont réellement liées à un problème d'hygiène informatique : comment peut-on laisser un serveur de supervision exposé sur Internet et pas maintenu à jour ?!

Pour lire la publication sur le site CERT-FR et consulter le guide détaillé de l'ANSSI, d'une quarantaine de pages, suivez le lien : CERT-FR / Centreon

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian Burnel

Ingénieur système et réseau et cofondateur d'IT-Connect. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

florian has 3204 posts and counting.See all posts by florian

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.