Des clés Secure Shell pour Linux utilisées comme vecteurs d’attaque
Les chercheurs ont annoncé une nouvelle série d’attaques Linux basées sur les clés SSH.
Des experts en sécurité ont lancé une mise en garde concernant une nouvelle série d’attaques Linux utilisant des clés Secure Shell (ou SSH*) volées. Le protocole SSH est utilisé pour communiquer en toute sécurité entre des machines en réseau. Le système a été initialement conçu pour remplacer le protocole Telnet, jugé moins fiable.
L’attaque est liée à un rootkit malveillant appelé Phalanx2. Selon un bulletin publié par l’US Computer Emergency Response Team (US-CERT), le rootkit est une variante d’un ancien malware et s’installe dans un répertoire appelé » /etc/khubd.p2/ » auquel on ne peut accéder que via la commande « cd ».
Une fois installé, le malware parcourt l’ordinateur de l’utilisateur à la recherche de clés SSH vulnérables et tente ensuite d’utiliser les données pour lancer des attaques sur les systèmes connectés.
Selon les chercheurs, l’attaque ne cherche pas à dérober ou à utiliser des clés volées qui nécessitent des mots de passe, ce qui offre aux administrateurs une arme efficace pour protéger leurs systèmes.
« La meilleure défense consiste à configurer toutes les clés, en particulier celles qui sont utilisées pour l’authentification sur des machines distantes et pour Internet, de manière à utiliser un passphrase [un utilisateur donne une phrase entière au système pour s’authentifier avant sa connexion] « , recommande John Bambenek, chercheur au Sans.
« Vérifiez vos logs, surtout si vous utilisez une authentification par clé SSH, pour identifier les accès effectués depuis des machines distantes qui n’ont aucune raison d’être. »
John Bambenek recommande également aux utilisateurs d’installer tous les correctifs afin de réparer les éventuelles vulnérabilités qui pourraient faciliter l’accès aux clés SSH.
Traduction de l’article Stolen SSH keys used for attacks de Vnunet.com en date du 28 août 2008
* Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication (Couche de transport du modèle OSI) sécurisé (source Wikipedia)