Des attaques contre des infrastructures Linux

Le par  |  15 commentaire(s)
Tux lit un journal

L'US-CERT émet un bulletin d'alerte au sujet d'attaques actives à l'encontre d'infrastructures Linux via des clés SSH compromises pour installer un rootkit.

Tux lit un journalHier, nous évoquions l'intrusion informatique dans les serveurs de Red Hat chargés de délivrer des mises à jour pour RHEL avec pour seule conséquence la modification des signatures d'un petit nombre de paquets OpenSSH pour RHEL 4 et 5. Les serveurs de Fedora ont également été victime d'une attaque similaire. Aujourd'hui, c'est l'US-CERT (United States Computer Emergency Readiness Team) chargé d'assurer la protection du réseau Internet national contre les cyberattaques qui publie une alerte faisant état d'attaques actives à l'encontre des infrastructures Linux via des clés SSH compromises.

Selon l'US-CERT, les attaquants auraient volé des clés SSH afin d'avoir accès à un système cible et tirent parti de vulnérabilités dans le noyau Linux pour obtenir un accès en mode administrateur (root). C'est ensuite un rootkit du nom de Phalanx2 qui est installé et part à la recherche de clés SSH supplémentaires à voler sur le système infecté, et à envoyer aux attaquants qui les utiliseront pour compromettre d'autres systèmes. Rappelons que les clés SSH offrent pour les clients voulant accéder à des serveurs des connexions sûres et chiffrées.

Heureusement, la présence de Phalanx2 est assez simple à détecter pour les administrateurs. Avec la commande " ls " pour lister les répertoires, le répertoire " /etc/khubd.p2/ " n'apparaît pas alors qu'il est accessible avec la commande " cd ". Par ailleurs, " /dev/shm/  " contient des fichiers utilisés pour l'attaque.

L'US-CERT recommande une série d'actions pour minimiser les risques mais demeure pour le moment assez flou sur les causes des attaques. Tous les regards se tournent néanmoins vers une vulnérabilité dans la bibliothèque OpenSSL utilisée pour générer des paires de clés sur les distributions Linux à base Debian. Cette vulnérabilité qui a refait surface en mai, est due à une erreur au niveau de la génération d'un nombre aléatoire (trop prévisible) pour créer des clés de chiffrement SSL et SSH publiques et privées.
Complément d'information
  • Un ver Java attaque Windows, Mac OS et Linux
    Appartenant à la famille Koobface, un malware cible principalement les utilisateurs Facebook. Il est cross-plateforme et s'attaque à l'infection de Windows, Mac OS X et Linux.
  • Microsoft attaque Linux '
      Nous connaissons tous les différends qui existent entre Microsoft et Linux, les " Abel et Caïn " du système d' exploitation.

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #306771
si /etc/khubd.p2/ n'apparaît pas au ls, il y a fort à parier que /bin/ls ait été remplacé par un autre programme filtrant l'affichage du répertoire /etc/khubd.p2/ , lors de l'installation du rootkit.
Fort possible aussi que /bin/ps par exemple ait subi le même sort... et sûrement quelques autres (find & co par exemple)
Par contre, c'est étrange, normalement openSSL avait été patchée suite à la découverte du bogue affectant la génération aléatoire des clés de chiffrement.
Cette attaque vise-t-elle uniquement les systèmes qui n'ont pas été mis à jour à l'époque? (sur le site de l'US-CERT, c'est la mention : "Review access paths to internet facing systems and ensure that systems are fully patched." qui me fait poser cette question)
Le #306821
Mouais ...
Sur un serveur ne figurent que la partie publique du biclé SSH.
Je ne vois donc pas comment le cheval de Troie pourrait se mettre à la recherche des clés privées de clients qui la conserve chez eux.
A moins que ledit serveur soit responsable de la génération des biclés (une aberration en terme de sécurité) auquel cas, effectivement, il y a danger pour les nouveaux entrants.

Encore une fois, la faille semble être davantage dans la pratique humaine, les procédures que dans les outils.

db
Le #306841
Quelqu'un en sait plus sur ces failles kernel exploitées? L'US Cert ne semble pas donner énormément d'informations de ce côté (ou alors je les ai pas vues ).
Le #306941
Moi je comprend juste qu'ils ont trouvé une clé SSH pour rentrer sur un serveur c'est tout, donc je ne vois pas en quoi ils ont trouvé une faille. Une erreur humaine en gros.
Le #307011
En gros, ils ont trouvé une clé SSH qui leur permet d'ouvrir une connexion à distance sur des ordinateurs (connexion impossible sans cette clé ) . Ensuite ils installent un rootkit sur cette machine pour obtenir d'autres clé permettant de se connecter à d'autres ordinateurs ou des serveurs.

La question première, c'est où ont ils trouvé la première clé SSH? Il y a eu surement une erreur humaine (ou un acte délibéré ) quelque part pour qu'ils l'obtiennent. L'autre question c'est quelles sont les failles du noyaux qu'ils ont exploité. D'ailleurs on peut se demander s'ils sont passé par des failles où si la faille n'était pas simplement un mot de passe administrateur trop facile à deviner.
Le #307021
En fait, ce sont au moins 2 failles découvertes et corrigés depuis longtemps qui n'auraient pas été fixées sur le serveur victime :
- Le problème des clefs ssh vulnérables.
- Une escalade des droits. Sans doute celle découverte cette année et très rapidement corrigée.

Si les admins sont incompétents au point de ne jamais mettre les systèmes à jour, c'est un autre problème
Le #307081
Ben perso, je suis assez content.
ca doit faire le 501 eme virus sous nux <img src="/img/emo/cool.gif" alt="8:" />
Le #307161
je vois bien la faille debian sur openssl ainsi que vmsplice ;-)
Le #307301
YannTech d'après plusieurs spécialistes il s'agit de la faille créée par le packager de debian.

En définitif, on part d'une pauvre bécane sous DEBIAN administrée par un incompétent (ou volontairement non maintenue) et on généralise en "Linux". Des hacks de box abandonnée il y en a tous les jours, quelques sites s'amusent a les recenser, c'est une non-actualité.
Le #307461
Peut-on demander aux rédacteurs des news de GNT d'être plus compétents qu'un journaliste payé pour vendre du papier/des pages vues avec du sensationnel qui fait peur pour pas cher ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]