IT-beheerstool Centreon werd geviseerd door hackers, die via een achterpoortje konden meekijken op servers van gebruikers. Hoewel de aanval zich richtte op oude software, zijn er toch slachtoffers.
De Franse Agence nationale de la sécurité des systèmes d’information (ANSSI) laat weten een jarenlange infiltratiecampagne ontsluierd te hebben. Hackers misbruikten de IT-managementtool Centreon van het gelijknamige bedrijf om binnen te breken op servers en mee te kijken. ANSSI stelt vast dat de aanval de vingerafdrukken van het Sandworm-hackerscollectief over zich heeft. Sandworm zou de schuldige achter de NotPetya-ransomware zijn en banden hebben met de Russische overheid.
Achterpoortjes
De cybersecurity-instelling ontdekte dat de aanvallers twee achterpoortjes in de Centreon-software drie jaar lang misbruikten. De aanvalscampagne zou intussen zijn afgelopen. Het hele verhaal doet denken aan het geavanceerde SolarWinds-hack in de VS, aangezien Russische aanvallers zich daar ook via IT-beheersoftware toegang verschaften tot gevoelige servers. Toch zijn er in dit geval belangrijke verschillen.
Zo misbruikten de hackers achterpoortjes die ze zelf ontdekten in de software, maar niet zelf geplaatst hadden via een supply chain-aanval zoals bij SolarWinds. Het gaat hier dus om misbruik van een lek. Bovendien werd dat lek al geruime tijd gedicht. Centreon laat weten dat de meest recente kwetsbare versie van zijn tool versienummer 2.5.2 draagt. Die versie kwam uit in 2014 en wordt al meer dan vijf jaar niet meer ondersteunt. Intussen heeft Centreon acht nieuwe grote versies van de Centreon-software gelanceerd.
De slachtoffers van de campagne zijn zo gebruikers die een degelijk updateproces voor kritieke software volledig aan hun laars lapten, en lang met verouderde en niet ondersteunde software bleven doorwerken. Centreon beweert daarom dat geen van zijn klanten getroffen is, al heeft het lek natuurlijk wel betrekking op gebruikers van de oude software die vermoedelijk ooit klant waren.
Updaten
In tegenstelling tot het SolarWinds-hack was deze aanval volledig te voorkomen door systeem en software up to date te houden. De impact van de campagne is onduidelijk maar ze was klaarblijkelijk gericht op IT-serviceproviders die zelf meerdere klanten onder de arm hebben. In theorie konden de hackers Centreon misbruiken om ook bij die klanten mee te kijken. De serviceproviders die de verouderde software draaiden, hebben zo de veiligheid van hun klanten in gevaar gebracht.
Centreon van zijn kant gaat samen met de eigen klanten nakijken welke versie van de software precies actief is als voorzorgsmaatregel. Het bedrijf benadrukt dat updaten van oude software een must is, al zeker in het geval van stokoude en niet ondersteunde versie 2.5.2.