Des experts en sécurité ont lancé une mise en garde concernant une nouvelle série d’attaques Linux utilisant des clés Secure Shell (ou SSH*) volées. Le protocole SSH est utilisé pour communiquer en toute sécurité entre des machines en réseau. Le système a été initialement conçu pour remplacer le protocole Telnet, jugé moins fiable.
L’attaque est liée à un rootkit malveillant appelé Phalanx2. Selon un bulletin publié par l’US Computer Emergency Response Team (US-CERT), le rootkit est une variante d’un ancien malware et s’installe dans un répertoire appelé » /etc/khubd.p2/ » auquel on ne peut accéder que via la commande « cd ».
Une fois installé, le malware parcourt l’ordinateur de l’utilisateur à la recherche de clés SSH vulnérables et tente ensuite d’utiliser les données pour lancer des attaques sur les systèmes connectés.
Selon les chercheurs, l’attaque ne cherche pas à dérober ou à utiliser des clés volées qui nécessitent des mots de passe, ce qui offre aux administrateurs une arme efficace pour protéger leurs systèmes.
« La meilleure défense consiste à configurer toutes les clés, en particulier celles qui sont utilisées pour l’authentification sur des machines distantes et pour Internet, de manière à utiliser un passphrase [un utilisateur donne une phrase entière au système pour s’authentifier avant sa connexion] « , recommande John Bambenek, chercheur au Sans.
« Vérifiez vos logs, surtout si vous utilisez une authentification par clé SSH, pour identifier les accès effectués depuis des machines distantes qui n’ont aucune raison d’être. »
John Bambenek recommande également aux utilisateurs d’installer tous les correctifs afin de réparer les éventuelles vulnérabilités qui pourraient faciliter l’accès aux clés SSH.
Traduction de l’article Stolen SSH keys used for attacks de Vnunet.com en date du 28 août 2008
* Secure Shell (SSH) est à la fois un programme informatique et un protocole de communication (Couche de transport du modèle OSI) sécurisé (source Wikipedia)
Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…
Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…