SSH kulcs alapú támadások Linux rendszereken

CH azonosító

CH-1517

Felfedezés dátuma

2008.08.28.

Súlyosság

Magas

Érintett rendszerek

Debian
Linux

Érintett verziók

Debian Linux

Összefoglaló

US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy “phalanx2” nevű rootkitet telepítenek.

Leírás

US-CERT óvatosságra int olyan aktív Linux alapú infrastruktúrák esetén, melyek kompromittált SSH kulcsokat használnak. A támadás során kompromittált SSH kulcsokat használnak a rendszer hozzáféréséhez, majd ezután a helyi kernel hibáit kihasználva root hozzáférést próbálnak szerezni. Miután root hozzáférést szereztek egy “phalanx2” nevű rootkit-et telepítenek.

Phalanx2 egy korábbi “phalanx” nevű rootkitből származik. A Phalanx2 és a scriptek a rootkiten belül úgy vannak konfigurálva, hogy módszeresen ellopja az SSH kulcsokat a feltört rendszerből. Ezek az SSH kulcsok elküldésre kerülnek a támadóhoz, aki ezeket felhasználva megpróbálkozhat a kapcsolódó rendszerek feltörésével.

A támadás során használt Phalanx2 észlelése:

  • Az “ls” parancs nem fogja listázni a “/etc/khubd.p2/”könyvtárat, de a könyvtár elérhető a “cd /etc/khubd.p2” parancs segítségével.
  • “/dev/shm/” tartalmazhat fájlokat a támadásról.
  • Az “ls” parancs nem listáz semmilyen “khubd.p2” nevű könyvtárat, de ezen könyvtárakba be lehet lépni a “cd” parancs segítségével.
  • A rootkit konfugurációjának módosítása megváltoztathatja az előbb említett támadásra utaló jeleket. Egyéb módon való észlelés lehetséges például, ha rejtett processzek után kutatunk vagy ellenőrizzük a “/etc”-ben az “ls” paranccsal listázott könyvtárak számát.

US-CERT azt ajánlja az rendszergazdáknak, hogy végezzék el a következő lépéseket a kockázatok enyhítése céljából:

  • Azonosítsák és vizsgálják meg azon rendszereket, ahol SSH kulcsokat használnak az automatikus folyamatok részeként. Ezek a kulcsok tipikusan nem rendelkeznek jelszavakkal.
  • Ajánlják a felhasználóknak, hogy a kulcsokat jelszavakkal védve használják!
  • Ellenőrizzék a hozzáférési lehetőségeket az internetre csatlakozó rendszereiken és bizonyosodjanak meg róla, hogy minden frissítés telepítve van!

Megoldás

A kompromittáció beigazolódása esetén a US-CERT a következő lépéseket ajánlja:

  • Kapcsolja ki a kulcs alapú SSH hitelesítést, az érintett rendszeren (ahol ez lehetséges)!
  • Az érintett rendszeren található összes SSH kulcson végezzen vizsgálatot!
  • Értesítse a kulcsok tulajdonosait a potenciálisan kompromittálttá vált kulcsaikról!

További információk várhatók a sérülékenységgel kapcsolatban.