Des attaques contre des infrastructures Linux

Hier, nous évoquions l'intrusion informatique dans les serveurs de Red Hat chargés de délivrer des mises à jour pour RHEL avec pour seule conséquence la modification des signatures d'un petit nombre de paquets OpenSSH pour RHEL 4 et 5. Les serveurs de Fedora ont également été victime d'une attaque similaire. Aujourd'hui, c'est l'US-CERT (United States Computer Emergency Readiness Team) chargé d'assurer la protection du réseau Internet national contre les cyberattaques qui publie une alerte faisant état d'attaques actives à l'encontre des infrastructures Linux via des clés SSH compromises.

Selon l'US-CERT, les attaquants auraient volé des clés SSH afin d'avoir accès à un système cible et tirent parti de vulnérabilités dans le noyau Linux pour obtenir un accès en mode administrateur (root). C'est ensuite un rootkit du nom de Phalanx2 qui est installé et part à la recherche de clés SSH supplémentaires à voler sur le système infecté, et à envoyer aux attaquants qui les utiliseront pour compromettre d'autres systèmes. Rappelons que les clés SSH offrent pour les clients voulant accéder à des serveurs des connexions sûres et chiffrées.

Heureusement, la présence de Phalanx2 est assez simple à détecter pour les administrateurs. Avec la commande " ls " pour lister les répertoires, le répertoire " /etc/khubd.p2/ " n'apparaît pas alors qu'il est accessible avec la commande " cd ". Par ailleurs, " /dev/shm/  " contient des fichiers utilisés pour l'attaque.

L'US-CERT recommande une série d'actions pour minimiser les risques mais demeure pour le moment assez flou sur les causes des attaques. Tous les regards se tournent néanmoins vers une vulnérabilité dans la bibliothèque OpenSSL utilisée pour générer des paires de clés sur les distributions Linux à base Debian. Cette vulnérabilité qui a refait surface en mai, est due à une erreur au niveau de la génération d'un nombre aléatoire (trop prévisible) pour créer des clés de chiffrement SSL et SSH publiques et privées.