Összefoglaló
US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy „phalanx2” nevű rootkitet telepítenek.
Leírás
US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy „phalanx2” nevű rootkit-et telepítenek.
Phalanx2 egy korábbi „phalanx” nevű rootkitből származik. A Phalanx2 és a scriptek a rootkiten belül úgy vannak konfigurálva, hogy módszeresen ellopja az SSH kulcsokat a feltört rendszerből. Ezek az SSH kulcsok elküldésre kerülnek a támadóhoz, aki ezeket felhasználva megpróbálkozhat a kapcsolódó rendszerek feltörésével.
A támadás során használt Phalanx2 észlelése:
- Az „ls” parancs nem fogja listázni a „/etc/khubd.p2/”könyvtárat, de a könyvtár elérhető a „cd /etc/khubd.p2” parancs segítségével.
- „/dev/shm/” tartalmazhat fájlokat a támadásról.
- Az „ls” parancs nem listáz semmilyen „khubd.p2” nevű könyvtárat, de ezen könyvtárakba be lehet lépni a „cd” parancs segítségével.
- A rootkit konfugurációjának módosítása megváltoztathatja az előbb említett támadásra utaló jeleket. Egyéb módon való észlelés lehetséges például, ha rejtett processzek után kutatunk vagy ellenőrizzük a „/etc”-ben az „ls” paranccsal listázott könyvtárak számát.
US-CERT azt ajánlja az rendszergazdáknak, hogy végezzék el a következő lépéseket a kockázatok enyhítése céljából:
- Azonosítsák és vizsgálják meg azon rendszereket, ahol SSH kulcsokat használnak az automatikus folyamatok részeként. Ezek a kulcsok tipikusan nem rendelkeznek jelszavakkal.
- Ajánlják a felhasználóknak, hogy a kulcsokat jelszavakkal védve használják!
- Ellenőrizzék a hozzáférési lehetőségeket az internetre csatlakozó rendszereiken és bizonyosodjanak meg róla, hogy minden frissítés telepítve van!
Megoldás
A kompromittáció beigazolódása esetén a US-CERT a következő lépéseket ajánlja:
- Kapcsolja ki a kulcs alapú SSH hitelesítést, az érintett rendszeren (ahol ez lehetséges)!
- Az érintett rendszeren található összes SSH kulcson végezzen vizsgálatot!
- Értesítse a kulcsok tulajdonosait a potenciálisan kompromittálttá vált kulcsaikról!
További információk várhatók a sérülékenységgel kapcsolatban.
Támadás típusa
Authentication Issues (Hitelesítés)Information disclosure (Információ/adat szivárgás)
Hatás
Loss of availability (Elérhetőség elvesztése)Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.us-cert.gov
