Le mode operatoire de l'attaque n'est pas mentionné.
On ne sait pas si c'est la distribution Centreon chez l'éditeur éponyme qui est en cause, et qui aurait ensuite été diffusée chez des clients (mode opératoire proche de l'épisode chez "solarwind".) Ou bien si des entreprises utilisant Centreon auraient été victimes d'attaques spécifiques.
En tout les cas :
- systèmes peu ou pas mis à jour
- instances centreon accessibles depuis Internet
L'ANSSI livre aussi, en plus de rapports assez détaillés, des règles de configuration pour Snort (et pour Yara)
On ne sait pas si c'est la distribution Centreon chez l'éditeur éponyme qui est en cause, et qui aurait ensuite été diffusée chez des clients
centreon semble dire que non. C'est juste des boites qui utilisaient des versions de centreon pas à jour qui se sont faites poutrer. Centreon.com l'éditeur n'a pas eu d'intrusion (en tout cas pas en lien avec cette affaire, soyons réservés :D )
Page 24 du rapport, on trouve les recommandations suivantes :
"Mettre à jour les applications"
"Limiter l'exposition Internet des outils de supervision" -> "ne pas exposer les interfaces web de ces outils sur Internet ou restreindre l’accès à celles-ci en mettant en œuvre des mécanismes de sécurité non applicatifs (certificat client TLS, authentification basic par le serveur web)."
Ce dernier document est une bonne ressource quiconque souhaite sécuriser sérieusement un serveur (au-delà de la configuration de base qui est, souvent, déjà assez bonne).
# attaque et ampleur non divulguées
Posté par ymz . Évalué à 10.
Le mode operatoire de l'attaque n'est pas mentionné.
On ne sait pas si c'est la distribution Centreon chez l'éditeur éponyme qui est en cause, et qui aurait ensuite été diffusée chez des clients (mode opératoire proche de l'épisode chez "solarwind".) Ou bien si des entreprises utilisant Centreon auraient été victimes d'attaques spécifiques.
En tout les cas :
- systèmes peu ou pas mis à jour
- instances centreon accessibles depuis Internet
L'ANSSI livre aussi, en plus de rapports assez détaillés, des règles de configuration pour Snort (et pour Yara)
muny@twitter.com
[^] # Re: attaque et ampleur non divulguées
Posté par octane . Évalué à 5.
https://www.centreon.com/societe/salle-de-presse/communiques-de-presse/centreon-apporte-des-eclaircissements-suite-a-la-parution-du-rapport-de-lanssi/
centreon semble dire que non. C'est juste des boites qui utilisaient des versions de centreon pas à jour qui se sont faites poutrer. Centreon.com l'éditeur n'a pas eu d'intrusion (en tout cas pas en lien avec cette affaire, soyons réservés :D )
# Recommandations
Posté par Samuel (site Web personnel) . Évalué à 1.
Page 24 du rapport, on trouve les recommandations suivantes :
Ce dernier document est une bonne ressource quiconque souhaite sécuriser sérieusement un serveur (au-delà de la configuration de base qui est, souvent, déjà assez bonne).
Suivre le flux des commentaires
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n’en sommes pas responsables.