Cyberattaque et logiciels de supervision - bonnes pratiques

Cyberattaque et logiciels de supervision - bonnes pratiques

En moins de 2 mois, ce sont 2 logiciels - Solarwinds et Centreon (produit basé sur Nagios) - qui ont été victimes d'attaques sans précédents. Il est évident de vouloir minimiser les dégâts, mais comment estimer les conséquences de piratages qui durent depuis des années ? Quel cybercriminel ne souhaite pas effacer ses traces, après son intrusion, pour commettre ses délits sans être pris ? Difficile de savoir ce qui s'est passé suite à l'infection et à quel point le maquillage des méfaits a été effectué...

Les logiciels de supervision sont des cibles de choix

Les logiciels de supervision sont des cibles de choix pour les pirates car ces logiciels ont en général un accès à tous les composants d'un Système d'Information. Utiliser le monitoring comme pivot, c'est une véritable mine d'or d'information qui permet aux personnes malveillantes de comprendre le système d'information d'une entreprise pour accélerer chaque étape de l'acte malveillant, que ce soit au niveau de la reconnaissance, de l'exploitation des vulnérabilités ou pour l'exfiltration des données.

Il est évident que tous les logiciels sont vulnérables mais comment ne pas considérer les logiciels Open Source comme étant plus à risque que les logiciels propriétaires d'un point de vue sécurité ? Le gouvernement Canadien recommande des précautions dans le cadre de l’utilisation de logiciels libres et évoque mêmes certains risques relatifs à leur utilisation www.cyber.gc.ca.

Pourquoi l'analyse des failles de sécurité d'un logiciel Open Source est-elle plus facile ?

1. Le code source est ouvert et accessible à tous
2. Les listes de vulnérabilités le sont également
3. Les effets "pervers" de la communauté ouverte

Lors de la maintenance des logiciels, les administrateurs doivent se tenir au courant de tous les problèmes de sécurité, qu'ils concernent les logiciels, les systèmes d'exploitation ou l'environnement réseau.

Par exemple dans la récente version de Centreon 19.04, il existe plus d'une soixantaine de correctifs de sécurité détaillés sur le site de Github : https://github.com/centreon/centreon/tree/19.04.x/doc/en/release_notes/centreon-19.04.
Il faut ajouter aussi certaines dépendances très vulnérables comme Apache et PHP qui totalisent un historique de plus de 1200 vulnérabilités pour l'un et 600 pour l'autre.

Beaucoup d'autres sources d'information permettent de référencer en détail les vulnérabilités exploitables (CVE), et ce pour beaucoup de logiciels Open Source :

• Centreon : https://www.cvedetails.com/vendor/7565/Centreon, https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=centreon
• Zabbix : https://www.cvedetails.com/product/9588/Zabbix, https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=zabbix
• Nagios : https://www.cvedetails.com/product/2468/Nagios, https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=nagios

D'autre part, il existe beaucoup de tutos sur les techniques de hacking https://medium.com/@0x616163/pivoting-with-devops-tools-abusing-zabbix-877e92bf49c2, des modules type MetaSploit ciblant les outils précédemment cités https://www.cvedetails.com/metasploit-modules/vendor-1424/Nagios.html qui peuvent donner une solution de hacking presque clé en main depuis une machine virtuelle Kali Linux. Que ce soit sur le logiciel lui-même ou les librairies embarquées, les hackers peuvent tranquillement étudier chaque vulnérabilité, développer un virus sur-mesure ou une technique d'intrusion et effectuer des tests dans la version choisie.

Le rôle des éditeurs pour la sécurité logicielle

Chez ServicePilot, nous éditons également un logiciel très sensible et prenons très au sérieux les problèmes de Cybercriminalité. Le code source est sous contrôle et fermé au public. L'architecture permet de mettre en place un flux sécurisé du type TLS 1.2 mono directionnel entre les serveurs et la plateforme de supervision, évitant ainsi d'ouvrir des ports sur les serveurs cibles.
Nous travaillons avec les plus grandes entreprises Françaises sur les problèmes de labellisation de logiciel du point de vue de la sécurité.
Nous effectuons régulièrement des Pentests (tests de pénétration).
Nous avons déjà travaillé avec certains clients sur des mécanismes de sécurité particuliers comme par exemple avec des réseaux non IP. Nous choisissons avec soin chaque composant, chaque détail de l'architecture.

Bonnes pratiques

Voici 7 bonnes pratiques que nous recommandons en plus des préconisations habituelles :

1. Remettre la supervision des SI au centre des préoccupations au même niveau que la sécurité
2. Eviter les anciennes techniques de supervision basées les scripts déclenchés à distance et qui nécessitent d'ouvrir certains ports sur les serveurs critiques (SNMP, NRPE ou NSClient++ par exemple)
3. Analyser et logguer tous les trafics suspects sur chaque serveur critique (connexions réseau et requêtes applicatives)
4. Mesurer en continu la sécurité du SI avec des solutions très fiables et très rapides à mettre en œuvre : logging (serveurs-desktop-web), conversations réseau, événements fichiers, ...
5. Auditer la vulnérabilité de chaque logiciel sensible, les logiciels dépendants, les possiblités de manipulation (ex : scripts Apache/PHP)
6. Evaluer les risques liés aux menaces internes (initiés malveillants, employés mécontents, tiers, ...)
7. Vérifier s'il existe réellement un contrat de maintenance sur les logiciels critiques car en général les logiciels Open Source en sont exclus

Les labels de cybersécurité, une idée pour améliorer la sécurité des logiciels ?

L'adoption d'un label "secured by design" et "tamper-proof" (à l'épreuve des manipulations) mettant l'accent sur la sécurité des logiciels aiderait non seulement les entreprises à améliorer la sécurité de leurs propres logiciels, mais leur donnerait également une indication sur la sécurité de l'architecture logicielle qu'elles souhaitent intégrer dans leur système d'information.