Het gat in kwestie is ontdekt in de Linux-distributie CentOS en raakt ook de oorsprong daarvan: Red Hat Enterprise Linux. Beheerders kunnen vrij makkelijk uitvinden of hun servers gepakt zijn. De aanwezigheid van het bestand libkeyutils.so.1.9 verraadt het binnendringen van aanvallers via het 0-day gat. Die kwetsbaarheid maakt de uitvoering van eigen code mogelijk nadat de Linux-kernel is gecorrumpeerd dankzij een fout in ptrace.

'Fout' bestand

Versie 1.9 van libkeyutils (Linux Key Management Utilities), een Linux-component voor het beheer van sleutels, bestaat officieel niet. De meest recente, schone versie is 1.3. Bij het aantreffen van de 'foute' versie geeft het Linux package-beheersysteem RPM aan dat het 'niet in bezit is van een andere package', wat volgens beveiligingsbedrijf SolidShellSecurity betekent dat de machine geroot is.

De firma noemde in een eerder bulletin over dit securityprobleem als oplossing het verwijderen van libkeyutils.so.1.9 en het herstarten van de SSH-daemon (Secure Shell, een systeemservice die op de achtergrond draait). Inmiddels is gebleken dat inbrekers zich root-rechten toegeëigend kunnen hebben en dus makkelijk opnieuw kunnen binnendringen.

Drastische maatregelen

In een discussiethread op Reddit wordt opgemerkt dat echt opruimen van deze inbraak grondige maatregelen vereist. Dit is geen kwestie van "de library verwijderen en het ok verklaren. De aanvaller had root-toegang tot je machine. Het is tijd om het systeem uit productie te halen, te wipen en te herstellen vanaf back-ups waarvan je weet dat die betrouwbaar zijn", aldus een forumgebruiker.

SolidShellSecurity speculeert ondertussen dat de inbrekers mogelijk niet binnenkomen via het 0-day kernelgat. De ingang voor de aanvallers zou een kwetsbaarheid zijn in een daemon die draait op de gekraakte systemen. Het beveiligingsbedrijf baseert deze theorie op het feit dat sommige gepwnde systemen waren beschermd met het virtuele bestandssysteem CageFS wat bepaalde zaken afschermt.

Of gat elders?

Een hacker zou dan volgens SolidShellSecurity expliciet een exploit gemaakt moeten hebben om CageFS te omzeilen, "met mogelijk de ptrace kernel-exploit, wat hoogst onwaarschijnlijk is". Diverse meldingen online maken gewag van inbraken bij gehoste servers die de beheerpanels cPanel, DirectAdmin of Plesk draaien. Daarbij wordt echter ook - slecht beveiligd - PHP als mogelijke aanvalsvector genoemd. Voor cPanel is er een script dat controleert op het foute libkeyutils.so.1.9.

Gepwnde Linux-servers zijn verder gekenmerkt doordat ze SSH-daemons draaien op non-standaard poorten. Via die SSHD worden vervolgens de wachtwoorden op het systeem naar buiten toe doorgegeven. Dit gebeurt vermomd als een DNS-dataverzoek (domain name system). Systemen met de nieuwste versies van CentOS en Cloud Linux (een variant voor hostingbedrijven) zijn gekraakt, zowel in de 5.x-reeks als de 6.x-reeks. Het eerste 'slachtoffer' is begin december ontdekt.