SSH kulcs alapú támadások Linux rendszereken


2008. augusztus 28. 22:00

CH azonosító

CH-1517

Felfedezés dátuma

2008.08.28.

Súlyosság

Magas

Érintett rendszerek

Debian
Linux

Érintett verziók

Debian Linux

Összefoglaló

US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy “phalanx2” nevű rootkitet telepítenek.

Leírás

US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy “phalanx2” nevű rootkit-et telepítenek.

Phalanx2 egy korábbi “phalanx” nevű rootkitből származik. A Phalanx2 és a scriptek a rootkiten belül úgy vannak konfigurálva, hogy módszeresen ellopja az SSH kulcsokat a feltört rendszerből. Ezek az SSH kulcsok elküldésre kerülnek a támadóhoz, aki ezeket felhasználva megpróbálkozhat a kapcsolódó rendszerek feltörésével.

A támadás során használt Phalanx2 észlelése:

  • Az “ls” parancs nem fogja listázni a “/etc/khubd.p2/”könyvtárat, de a könyvtár elérhető a “cd /etc/khubd.p2” parancs segítségével.
  • “/dev/shm/” tartalmazhat fájlokat a támadásról.
  • Az “ls” parancs nem listáz semmilyen “khubd.p2” nevű könyvtárat, de ezen könyvtárakba be lehet lépni a “cd” parancs segítségével.
  • A rootkit konfugurációjának módosítása megváltoztathatja az előbb említett támadásra utaló jeleket. Egyéb módon való észlelés lehetséges például, ha rejtett processzek után kutatunk vagy ellenőrizzük a “/etc”-ben az “ls” paranccsal listázott könyvtárak számát.

US-CERT azt ajánlja az rendszergazdáknak, hogy végezzék el a következő lépéseket a kockázatok enyhítése céljából:

  • Azonosítsák és vizsgálják meg azon rendszereket, ahol SSH kulcsokat használnak az automatikus folyamatok részeként. Ezek a kulcsok tipikusan nem rendelkeznek jelszavakkal.
  • Ajánlják a felhasználóknak, hogy a kulcsokat jelszavakkal védve használják!
  • Ellenőrizzék a hozzáférési lehetőségeket az internetre csatlakozó rendszereiken és bizonyosodjanak meg róla, hogy minden frissítés telepítve van!

Megoldás

A kompromittáció beigazolódása esetén a US-CERT a következő lépéseket ajánlja:

  • Kapcsolja ki a kulcs alapú SSH hitelesítést, az érintett rendszeren (ahol ez lehetséges)!
  • Az érintett rendszeren található összes SSH kulcson végezzen vizsgálatot!
  • Értesítse a kulcsok tulajdonosait a potenciálisan kompromittálttá vált kulcsaikról!

További információk várhatók a sérülékenységgel kapcsolatban.

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.us-cert.gov

Legfrissebb sérülékenységek
CVE-2025-54313 – Prettier eslint-config-prettier Embedded Malicious Code sérülékenység
CVE-2025-31125 – Vite Vitejs Improper Access Control sérülékenység
CVE-2025-34026 – Versa Concerto Improper Authentication sérülékenység
CVE-2025-68645 – Synacor Zimbra Collaboration Suite (ZCS) PHP Remote File Inclusion sérülékenység
CVE-2026-20045 – Cisco Unified Communications Products Code Injection sérülékenység
CVE-2026-22844 – Zoom Node Multimedia Routers sérülékenysége
CVE-2025-14533 – WordPress ACF Extended Plugin sérülékenysége
CVE-2026-23550 – WordPress Modular DS plugin Privilege Escalation sérülékenysége
CVE-2023-31096 – Windows Agere Soft Modem Driver Elevation of Privilege sérülékenység
CVE-2026-21265 – Secure Boot Certificate Expiration Security Feature Bypass sérülékenység
Tovább a sérülékenységekhez »