Des attaques contre des infrastructures Linux

Le par Jérôme G.  |  15 commentaire(s)
Tux lit un journal

L'US-CERT émet un bulletin d'alerte au sujet d'attaques actives à l'encontre d'infrastructures Linux via des clés SSH compromises pour installer un rootkit.

Tux lit un journalHier, nous évoquions l'intrusion informatique dans les serveurs de Red Hat chargés de délivrer des mises à jour pour RHEL avec pour seule conséquence la modification des signatures d'un petit nombre de paquets OpenSSH pour RHEL 4 et 5. Les serveurs de Fedora ont également été victime d'une attaque similaire. Aujourd'hui, c'est l'US-CERT (United States Computer Emergency Readiness Team) chargé d'assurer la protection du réseau Internet national contre les cyberattaques qui publie une alerte faisant état d'attaques actives à l'encontre des infrastructures Linux via des clés SSH compromises.

Selon l'US-CERT, les attaquants auraient volé des clés SSH afin d'avoir accès à un système cible et tirent parti de vulnérabilités dans le noyau Linux pour obtenir un accès en mode administrateur (root). C'est ensuite un rootkit du nom de Phalanx2 qui est installé et part à la recherche de clés SSH supplémentaires à voler sur le système infecté, et à envoyer aux attaquants qui les utiliseront pour compromettre d'autres systèmes. Rappelons que les clés SSH offrent pour les clients voulant accéder à des serveurs des connexions sûres et chiffrées.

Heureusement, la présence de Phalanx2 est assez simple à détecter pour les administrateurs. Avec la commande " ls " pour lister les répertoires, le répertoire " /etc/khubd.p2/ " n'apparaît pas alors qu'il est accessible avec la commande " cd ". Par ailleurs, " /dev/shm/  " contient des fichiers utilisés pour l'attaque.

L'US-CERT recommande une série d'actions pour minimiser les risques mais demeure pour le moment assez flou sur les causes des attaques. Tous les regards se tournent néanmoins vers une vulnérabilité dans la bibliothèque OpenSSL utilisée pour générer des paires de clés sur les distributions Linux à base Debian. Cette vulnérabilité qui a refait surface en mai, est due à une erreur au niveau de la génération d'un nombre aléatoire (trop prévisible) pour créer des clés de chiffrement SSL et SSH publiques et privées.
  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
lidstah offline Hors ligne VIP icone 6543 points
Le #306771
si /etc/khubd.p2/ n'apparaît pas au ls, il y a fort à parier que /bin/ls ait été remplacé par un autre programme filtrant l'affichage du répertoire /etc/khubd.p2/ , lors de l'installation du rootkit.
Fort possible aussi que /bin/ps par exemple ait subi le même sort... et sûrement quelques autres (find & co par exemple)
Par contre, c'est étrange, normalement openSSL avait été patchée suite à la découverte du bogue affectant la génération aléatoire des clés de chiffrement.
Cette attaque vise-t-elle uniquement les systèmes qui n'ont pas été mis à jour à l'époque? (sur le site de l'US-CERT, c'est la mention : "Review access paths to internet facing systems and ensure that systems are fully patched." qui me fait poser cette question)
Gourmet offline Hors ligne Vénéré avatar 4713 points
Le #306821
Mouais ...
Sur un serveur ne figurent que la partie publique du biclé SSH.
Je ne vois donc pas comment le cheval de Troie pourrait se mettre à la recherche des clés privées de clients qui la conserve chez eux.
A moins que ledit serveur soit responsable de la génération des biclés (une aberration en terme de sécurité) auquel cas, effectivement, il y a danger pour les nouveaux entrants.

Encore une fois, la faille semble être davantage dans la pratique humaine, les procédures que dans les outils.

db
Zurphx offline Hors ligne Héroïque avatar 897 points
Le #306841
Quelqu'un en sait plus sur ces failles kernel exploitées? L'US Cert ne semble pas donner énormément d'informations de ce côté (ou alors je les ai pas vues :wink.
Anonyme offline Hors ligne Héroïque avatar 991 points
Le #306941
Moi je comprend juste qu'ils ont trouvé une clé SSH pour rentrer sur un serveur c'est tout, donc je ne vois pas en quoi ils ont trouvé une faille. Une erreur humaine en gros.
Anonyme offline Hors ligne Vénéré avatar 3545 points
Le #307011
En gros, ils ont trouvé une clé SSH qui leur permet d'ouvrir une connexion à distance sur des ordinateurs (connexion impossible sans cette clé ) . Ensuite ils installent un rootkit sur cette machine pour obtenir d'autres clé permettant de se connecter à d'autres ordinateurs ou des serveurs.

La question première, c'est où ont ils trouvé la première clé SSH? Il y a eu surement une erreur humaine (ou un acte délibéré ) quelque part pour qu'ils l'obtiennent. L'autre question c'est quelles sont les failles du noyaux qu'ils ont exploité. D'ailleurs on peut se demander s'ils sont passé par des failles où si la faille n'était pas simplement un mot de passe administrateur trop facile à deviner.
Maxime81 offline Hors ligne VIP avatar 5239 points
Le #307021
En fait, ce sont au moins 2 failles découvertes et corrigés depuis longtemps qui n'auraient pas été fixées sur le serveur victime :
- Le problème des clefs ssh vulnérables.
- Une escalade des droits. Sans doute celle découverte cette année et très rapidement corrigée.

Si les admins sont incompétents au point de ne jamais mettre les systèmes à jour, c'est un autre problème
freeman offline Hors ligne Vénéré avatar 4942 points
Le #307081
Ben perso, je suis assez content.
ca doit faire le 501 eme virus sous nux <img src="/img/emo/cool.gif" alt="8:" />
YannTech offline Hors ligne Vétéran avatar 1021 points
Le #307161
je vois bien la faille debian sur openssl ainsi que vmsplice ;-)
KerTiaM offline Hors ligne VIP icone 6496 points
Le #307301
YannTech d'après plusieurs spécialistes il s'agit de la faille créée par le packager de debian.

En définitif, on part d'une pauvre bécane sous DEBIAN administrée par un incompétent (ou volontairement non maintenue) et on généralise en "Linux". Des hacks de box abandonnée il y en a tous les jours, quelques sites s'amusent a les recenser, c'est une non-actualité.
viktor offline Hors ligne Vétéran avatar 1151 points
Le #307461
Peut-on demander aux rédacteurs des news de GNT d'être plus compétents qu'un journaliste payé pour vendre du papier/des pages vues avec du sensationnel qui fait peur pour pas cher ?
icone Suivre les commentaires
Poster un commentaire