SSH kulcs alapú támadások Linux rendszereken


2008. augusztus 28. 22:00

CH azonosító

CH-1517

Felfedezés dátuma

2008.08.28.

Súlyosság

Magas

Érintett rendszerek

Debian
Linux

Érintett verziók

Debian Linux

Összefoglaló

US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy “phalanx2” nevű rootkitet telepítenek.

Leírás

US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy “phalanx2” nevű rootkit-et telepítenek.

Phalanx2 egy korábbi “phalanx” nevű rootkitből származik. A Phalanx2 és a scriptek a rootkiten belül úgy vannak konfigurálva, hogy módszeresen ellopja az SSH kulcsokat a feltört rendszerből. Ezek az SSH kulcsok elküldésre kerülnek a támadóhoz, aki ezeket felhasználva megpróbálkozhat a kapcsolódó rendszerek feltörésével.

A támadás során használt Phalanx2 észlelése:

  • Az “ls” parancs nem fogja listázni a “/etc/khubd.p2/”könyvtárat, de a könyvtár elérhető a “cd /etc/khubd.p2” parancs segítségével.
  • “/dev/shm/” tartalmazhat fájlokat a támadásról.
  • Az “ls” parancs nem listáz semmilyen “khubd.p2” nevű könyvtárat, de ezen könyvtárakba be lehet lépni a “cd” parancs segítségével.
  • A rootkit konfugurációjának módosítása megváltoztathatja az előbb említett támadásra utaló jeleket. Egyéb módon való észlelés lehetséges például, ha rejtett processzek után kutatunk vagy ellenőrizzük a “/etc”-ben az “ls” paranccsal listázott könyvtárak számát.

US-CERT azt ajánlja az rendszergazdáknak, hogy végezzék el a következő lépéseket a kockázatok enyhítése céljából:

  • Azonosítsák és vizsgálják meg azon rendszereket, ahol SSH kulcsokat használnak az automatikus folyamatok részeként. Ezek a kulcsok tipikusan nem rendelkeznek jelszavakkal.
  • Ajánlják a felhasználóknak, hogy a kulcsokat jelszavakkal védve használják!
  • Ellenőrizzék a hozzáférési lehetőségeket az internetre csatlakozó rendszereiken és bizonyosodjanak meg róla, hogy minden frissítés telepítve van!

Megoldás

A kompromittáció beigazolódása esetén a US-CERT a következő lépéseket ajánlja:

  • Kapcsolja ki a kulcs alapú SSH hitelesítést, az érintett rendszeren (ahol ez lehetséges)!
  • Az érintett rendszeren található összes SSH kulcson végezzen vizsgálatot!
  • Értesítse a kulcsok tulajdonosait a potenciálisan kompromittálttá vált kulcsaikról!

További információk várhatók a sérülékenységgel kapcsolatban.

Támadás típusa

Authentication Issues (Hitelesítés)
Information disclosure (Információ/adat szivárgás)

Hatás

Loss of availability (Elérhetőség elvesztése)
Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Gyártói referencia: www.us-cert.gov

Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »