フランスのサイバーセキュリティ機関である国家安全システム情報庁(ANSSI)は、IT監視プラットフォームCentreonへの侵入を目的とした数年にわたるキャンペーンを特定した。
Centreon (企業) は、Centreon (ソフトウェア) は素晴らしいオープンソース IT 監視ツールであると主張しました。
同社の宣伝文句には、「組織は、サービスの稼働時間とネットワークのピーク時の可用性を確保するために、ITインフラストラクチャと運用を常に監視する必要があります」と記されています。Centreon社は、Centreonのソフトウェアこそがまさに監視の目であると述べています。
ANSSIは月曜日、Centreonソフトウェアに2つのバックドアがあることを認識していると明らかにし、フランスのITサービスプロバイダー数社が最長3年にわたって侵入されていたと述べた。
The Registerが高校で学んだフランス語とオンライン翻訳サービスを利用して調査した詳細なレポート[PDF]の中で、ANSSIは、攻撃にはPASウェブシェルとExaramelバックドアトロイの木馬が使用されたと述べています。
どちらのバックドアも目新しいものではありません。PASウェブシェルは2017年からセキュリティベンダーの監視対象となっており、Exaramelに関する言及は2018年に確認されています。PASは、データベースへのブルートフォース攻撃など、悪質な行為を行ってコンテンツにアクセスします。Exaramelはリモートコントロールツールです。
壊滅的なNotPetyaの流行から1年、私たちは何を学んだのか?BlackBerryの担当者は「多くはない」と語る
続きを読む
ANSSIは、一部のCentreonユーザーがシステムにパッチを適用していなかったため、この攻撃が可能になったと述べた。ANSSIは攻撃の結果については明らかにしなかったが、2つのバックドアの組み合わせにより、Centreonとそのソフトウェアが完全に侵害され、ネットワークを横断した横方向の移動が可能になったと述べた。
この攻撃はサービスプロバイダーを標的としており、そのような組織はマルチテナントのインフラストラクチャを提供している可能性が高いため、多くの組織が侵害を受けている可能性があります。
ANSSIはロシアが攻撃を行ったとは明言していないが、バックドアを設置して操作する手法は、NotPetyaランサムウェアにも関与した疑いのある「サンドワーム」集団の手法と非常によく似ていると指摘した。
ANSSI のレポートでは、管理ツールのすべてのユーザーに対して、Web インターフェースへのアクセスを制限し、管理ツールが実行される Linux サーバーを強化することを推奨しています。
しかし、ITサービスプロバイダーとそのニーズに応えるベンダーは、数多くの組織へのゲートウェイであり、犯罪者の格好の標的となるため、セキュリティの強化は譲れないことを常に認識しています。しかし、一部の企業は、明らかに古くて脆弱なバージョンのCentreonソフトウェアを使用していたにもかかわらず、内部をうろつく悪意のある人物に気付かなかったのです。
SolarWinds の Orion 管理ソフトウェアの侵害されたバージョンを実行した多くの組織も同様です。®
