Lien des instances centreon compromises

Posté par bubar🦥 (site web personnel) le 16 février 2021 à 03:33.

Étiquettes :

fév.

2021

https://www.cert.ssi.gouv.fr/cti/CERTFR-2021-CTI-004/

# attaque et ampleur non divulguées

Posté par bubar🦥 (site web personnel) le 16 février 2021 à 03:55. Évalué à 10.

Le mode operatoire de l'attaque n'est pas mentionné.
On ne sait pas si c'est la distribution Centreon chez l'éditeur éponyme qui est en cause, et qui aurait ensuite été diffusée chez des clients (mode opératoire proche de l'épisode chez "solarwind".) Ou bien si des entreprises utilisant Centreon auraient été victimes d'attaques spécifiques.

En tout les cas :
- systèmes peu ou pas mis à jour
- instances centreon accessibles depuis Internet

L'ANSSI livre aussi, en plus de rapports assez détaillés, des règles de configuration pour Snort (et pour Yara)
- [^] # Re: attaque et ampleur non divulguées
  
  Posté par octane le 17 février 2021 à 09:10. Évalué à 5.
  
  https://www.centreon.com/societe/salle-de-presse/communiques-de-presse/centreon-apporte-des-eclaircissements-suite-a-la-parution-du-rapport-de-lanssi/
  
  On ne sait pas si c'est la distribution Centreon chez l'éditeur éponyme qui est en cause, et qui aurait ensuite été diffusée chez des clients
  
  centreon semble dire que non. C'est juste des boites qui utilisaient des versions de centreon pas à jour qui se sont faites poutrer. Centreon.com l'éditeur n'a pas eu d'intrusion (en tout cas pas en lien avec cette affaire, soyons réservés :D )
# Recommandations

Posté par Samuel (site web personnel) le 18 février 2021 à 15:00. Évalué à 1.
Page 24 du rapport, on trouve les recommandations suivantes :
- "Mettre à jour les applications"
- "Limiter l'exposition Internet des outils de supervision" -> "ne pas exposer les interfaces web de ces outils sur Internet ou restreindre l’accès à celles-ci en mettant en œuvre des mécanismes de sécurité non applicatifs (certificat client TLS, authentification basic par le serveur web)."
- "Renforcer la sécurité des serveurs" -> "le profil Renforcé du guide de RECOMMANDATIONS DE CONFIGURATION D’UN SYSTÈME GNU/LINUX".
Ce dernier document est une bonne ressource quiconque souhaite sécuriser sérieusement un serveur (au-delà de la configuration de base qui est, souvent, déjà assez bonne).