ANSSI : une cyberattaque importante vise les serveurs Centreon obsolètes
Par l'intermédiaire du site CERT-FR, l'ANSSI a publié un nouveau rapport qui évoque une campagne de cyberattaques qui visent les serveurs de supervision Centreon, dans le but de compromettre des entreprises françaises.
D'après l'ANSSI, cette attaque a touché principalement des prestataires de services notamment dans le domaine de l'hébergement Web. Cette cyberattaque n'est pas nouvelle puisqu'elle est active depuis fin 2017 et son activité a cessé en 2020.
Sur les serveurs Centreon compromis, qui au passage sont des serveurs publiés sur Internet, l'ANSSI a remarqué la présence de deux portes dérobées de type webshell. Ceci permet aux attaquants d'avoir un accès au système à distance, à l'aide d'une page web puisque Centreon est accessible en mode web. La première porte dérobée est P.A.S dans sa version 3.1.4 alors que la seconde souche malveillante se nomme Exaramel, il s'agit d'un nom donné par ESET lors de sa découverte en 2018.
En plus d'être disponible sur Internet, les serveurs Centreon compromis n'étaient pas à jour ! Les équipes de l'ANSSI ont relevé que la version la plus récente trouvée sur les serveurs compromis était la version 2.5.2 de Centreon. Il s'agit d'une version sortie en novembre 2014 et qui n'est plus supportée depuis plus de 5 ans. En fait, depuis Centreon a publié pas moins de 8 versions majeures.
Le risque, puisque cette attaque cible des prestataires de services, c'est qu'il y ait des attaques par rebond contre des entreprises intégrées au sein des systèmes de supervision compromis. La liste des victimes est relativement floue. Si l'on s'intéresse aux clients de Centreon, on peut lire de grands noms comme AccorHotel, Airbus, EDF ou encore RATP. De son côté, Centreon indique avoir échangé avec l'ANSSI ces dernières 24 heures et affirme qu'il n'y a pas eu de clients directs de Centreon compromis dans le cadre de cette cyberattaque.
Dans son rapport, l'ANSSI mentionne "Sandworm" des dizaines de fois. Un groupe de hackers rattaché à la Russie et qui pourrait être à l'origine de ces attaques. En tout cas, c'est le mode opératoire "Sandworm" qui est évoqué, ce qui ne veut pas dire directement qu'ils en sont à l'origine.
Ces attaques qui ciblent les serveurs Centreon sont réellement liées à un problème d'hygiène informatique : comment peut-on laisser un serveur de supervision exposé sur Internet et pas maintenu à jour ?!
Pour lire la publication sur le site CERT-FR et consulter le guide détaillé de l'ANSSI, d'une quarantaine de pages, suivez le lien : CERT-FR / Centreon