US-CERT waarschuwt voor SSH-aanvallen op Linux
Gepubliceerd: Woensdag 27 augustus 2008
Auteur: Ferry Waterkamp
Het Amerikaanse Computer Emergency Readiness Team waarschuwt voor wat het noemt 'actieve aanvallen' tegen Linux-gebaseerde infrastructuren waarbij gebruik wordt gemaakt van gecompromitteerde SSH-sleutels.
De Amerikaanse instantie vermoedt dat gestolen SSH-sleutels worden gebruikt om toegang te krijgen tot een systeem. Vervolgens worden lokale kernel exploits gebruikt om root access te verkrijgen. Als dit is gelukt wordt er een rootkit met de naam 'phalanx2' geïnstalleerd.
Phalanx2, dat vermoedelijk is afgeleid van de oudere rootkit 'phalanx', is zo geconfigureerd dat de SSH-sleutels op een gekraakt systeem automatisch worden gestolen. De sleutels worden doorgestuurd naar de aanvallers die er vervolgens weer andere sites en systemen mee aanvallen.
Details over de aanvallen zijn verder niet bekend. Mogelijk is er een verband met het OpenSSL-lek dat eerder dit jaar werd aangetroffen in Debian. Door het lek is het makkelijker om de 'random' gegenereerde cryptografische sleutels (waaronder die voor SSH, SSL-certificaten, OpenVPN) te voorspellen.
US-CERT raadt systeembeheerders aan om goed in kaart te brengen waar SSH-sleutels worden gebruikt binnen geautomatiseerde processen. De instantie legt in zijn advies uit hoe phalanx2 kan worden opgespoord.
Bron: Techworld
