Rapport ANSSI : 2 portes dérobées liées au mode opératoire Sandworm et installées depuis 2017 sur des serveurs Centreon #VeilleYuno

Rapport ANSSI : 2 portes dérobées liées au mode opératoire Sandworm et installées depuis 2017 sur des serveurs Centreon #VeilleYuno

Le 15 février 2021, l’ANSSI a publié un rapport décrivant une campagne d’attaques visant le logiciel de supervision Centreon et utilisant le mode opératoire Sandworm.

Ce logiciel est composé de deux entités, le cœur de supervision (Centreon Engine) et l’interface graphique (Centreon Web UI) qui est accessible via un serveur Apache.

Sur les systèmes compromis, deux portes dérobées (backdoor) ont été découvertes : un premier webshell connu sous le nom de P.A.S. (dans sa version 3.1.4) et une seconde, un outil d’administration à distance (ou RAT) nommé Exaramel par les équipes d’ESET.

Lors de l’analyse des serveurs Centreon, l’ANSSI a découvert quatre fichiers PHP qui ont été identifiés comme des versions de P.A.S.. Ceux-ci ont été identifiés aux emplacements suivants :

  • usr/local/centreon/www/search.php ;
  • usr/share/centreon/www/search.php;
  • usr/share/centreon/www/modules/Discovery/include/DB-Drop.php;
  • usr/share/centreon/www/htmlHeader.php (ce dernier n’a pas pu être analysé par l’ANSSI).

Accessibles depuis Internet, ils offrent la possibilité aux attaquants d’effectuer plusieurs actions sur le serveur :

  • Manipuler, modifier (changement de permission, de groupe d’appartenance et de date de modification) ou télécharger des fichiers Centreon ;
  • Rechercher des fichiers dans l’arborescence ;
  • Accéder, modifier ou extraire les bases de données (MySQL, MYSQL, PostgreSQL) depuis l’application ;
  • Créer des invités de commandes distants et scanner le réseau ;
  • Exécuter des commandes PHP ;
  • Récupérer des informations système (contenu du fichier /etc/passwd et retour de la commande phpinfo).

La backdoor Exaramel permet quant à elle aux attaquants de copier des fichiers du serveur compromis vers le serveur de l’attaquant et inversement ainsi que d’exécuter des commandes shell. La communication entre le serveur compromis et le serveur de l’attaquant se fait en HTTPS. La présence de cette backdoor a notamment permis de lier l’attaque au mode opératoire du groupe Sandworm.

Néanmoins, l’ANSSI n’a pas publié de détail sur le vecteur de compromission initial.

En plus de ces détails sur l’attaque, le rapport de l’ANSSI met à disposition une méthodologie très détaillée afin de découvrir si un serveur a été compromis.

L’ensemble du rapport est disponible à l’adresse suivante : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-004.pdf.

Recommandation : Le CERT-XMCO recommande l’installation de la version 20.10 de Centreon disponible à l’adresse suivante : https://download.centreon.com/ 

Vulnérable : Centreon <= 2.5.2

Non vulnérable : Aucun

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2021-CTI-004.pdf

Références CVE : Aucune

Référence CERT-XMCO : CXN-2021-0793

Recevez d’autres bulletins informationnels et techniques avec Yuno, le service de veille personnalisé. Faîtes le test pendant 14 jours ici.


Paloma Siggini