[NEWS] SSH violato, Linux sotto scacco

c.m.g · 29-08-2008, 09:08

venerdì 29 agosto 2008

Roma - L'allarme è stato lanciato dal CERT statunitense nelle scorse ore: i sistemi equipaggiati con Linux sono al centro dell'attenzione dei malintenzionati, che hanno da poco intrapreso una massiccia campagna di sondaggio dei server alla ricerca di varchi nei quali penetrare. Una volta individuata una preda vulnerabile, i cracker si insinuano tra le pieghe del sistema, installando l'evoluzione di un tool maligno già noto, allo scopo di allargare la fetta dei server sotto il loro controllo.

Il problema, secondo CERT, sarebbe legato alla vulnerabilità di cui ha sofferto in passato il pacchetto OpenSSH: un certo numero di chiavi è finito tra le mani dei blackhat, che ora le sfruttano per penetrare nei sistemi che non siano stati aggiornati. Una volta dentro, un exploit locale viene lanciato per prendere il controllo della macchina e provvedere ad installare un rootkit denominato phalanx2: derivato dall'omonimo progenitore, il suo compito è andare alla ricerca di altre chiavi SSH e farne una copia per gli attaccanti, così da allargare il cerchio dell'infezione ad altri sistemi.

Pochi e semplici, secondo le indicazioni fornite dagli esperti statunitensi, i passaggi necessari a verificare l'eventuale infezione del proprio sistema. Un semplice ls non sarebbe in grado di rivelare la directory nascosta /etc/khubd.p2/, accessibile in ogni caso con il comando cd. Altri metodi per individuare l'infezione sono la ricerca di eventuali processi nascosti in esecuzione, oppure la verifica a mano del contenuto della directory /etc rispetto a quanto restituito da ls in una console.

Naturalmente nei prossimi giorni è lecito attendersi alcune modifiche al modus operandi dei malintenzionati, così come al codice e alle caratteristiche del rootkit installato. Per questo, dal CERT parte l'appello a tutti gli amministratori affinché tengano d'occhio i sistemi Linux a loro affidati, verificando l'aggiornamento del pacchetto OpenSSH, l'eventuale compromissione di una o più chiavi SSH presenti sulle loro macchine, ed infine invitando tutti i propri utenti a cambiare le rispettive chiavi di accesso per abbattere il rischio attuale.

Dal CERT non è giunta alcuna spiegazione o indiscrezione su come questo tipo di attacco possa essere partito. La possibilità più concreta, suggerisce qualcuno, è che tutto possa essere scaturito dal problema incontrato dalla distribuzione Debian (e tutte le sue derivate, come Ubuntu) negli scorsi mesi, a causa di un generatore di numeri random presente nel pacchetto OpenSSH rivelatosi ben poco abile nello svolgere il proprio lavoro. Inoltre, è di questa settimana la notizia che anche la repository di RedHat è stata presa di mira dai malintenzionati, e proprio i pacchetti OpenSSH sono stati oggetto di un tentativo di modifica probabilmente in previsione di questi eventi.

In ogni caso, precisano gli esperti d'oltreoceano, l'attuale vulnerabilità non è legata alla struttura del sistema operativo Linux, ma alla singola buona osservanza delle opportune regole di protezione e manutenzione da parte dei gestori dei sistemi: "Se gli admin non rendono sicuro Linux - scrive Matt Asay - non sarà sicuro". Coloro i quali hanno provveduto ad applicare le patch necessarie a tempo debito, e tengono sotto controllo i log dell'accesso ai server, non dovrebbero correre rischi particolari in questa fase.

Luca Annunziata

Fonte: Punto Informatico

c.m.g · 31-08-2008, 12:51

ripreso da webmasterpoint:

http://www.webmasterpoint.org/news/f...hi_p32503.html

Frank Castle · 01-09-2008, 00:54

Sta solo sfruttando le chiavi vulnerabili generate da OpenSSL su Debian prima di maggio 2008, bug corretto da almeno tre mesi che dà accesso solo a server con SSH impostato per l'autenticazione a chiave pubblica di client con chiavi vulnerabili... e pacchetti di sicurezza non aggiornati da mesi...

Praticamente, già fixato e meno pericoloso di un exploit a una qualunque applicazione server...

Ma si sa, pur di gridare allo scandolo sicurezza su sistemi Linux si fa di tutto

(pur non volendo ignorare l'immane minchiata / sfiga dei developer debian per quel problema).

29-08-2008, 09:08	#1
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	[NEWS] SSH violato, Linux sotto scacco venerdì 29 agosto 2008 Roma - L'allarme è stato lanciato dal CERT statunitense nelle scorse ore: i sistemi equipaggiati con Linux sono al centro dell'attenzione dei malintenzionati, che hanno da poco intrapreso una massiccia campagna di sondaggio dei server alla ricerca di varchi nei quali penetrare. Una volta individuata una preda vulnerabile, i cracker si insinuano tra le pieghe del sistema, installando l'evoluzione di un tool maligno già noto, allo scopo di allargare la fetta dei server sotto il loro controllo. Il problema, secondo CERT, sarebbe legato alla vulnerabilità di cui ha sofferto in passato il pacchetto OpenSSH: un certo numero di chiavi è finito tra le mani dei blackhat, che ora le sfruttano per penetrare nei sistemi che non siano stati aggiornati. Una volta dentro, un exploit locale viene lanciato per prendere il controllo della macchina e provvedere ad installare un rootkit denominato phalanx2: derivato dall'omonimo progenitore, il suo compito è andare alla ricerca di altre chiavi SSH e farne una copia per gli attaccanti, così da allargare il cerchio dell'infezione ad altri sistemi. Pochi e semplici, secondo le indicazioni fornite dagli esperti statunitensi, i passaggi necessari a verificare l'eventuale infezione del proprio sistema. Un semplice ls non sarebbe in grado di rivelare la directory nascosta /etc/khubd.p2/, accessibile in ogni caso con il comando cd. Altri metodi per individuare l'infezione sono la ricerca di eventuali processi nascosti in esecuzione, oppure la verifica a mano del contenuto della directory /etc rispetto a quanto restituito da ls in una console. Naturalmente nei prossimi giorni è lecito attendersi alcune modifiche al modus operandi dei malintenzionati, così come al codice e alle caratteristiche del rootkit installato. Per questo, dal CERT parte l'appello a tutti gli amministratori affinché tengano d'occhio i sistemi Linux a loro affidati, verificando l'aggiornamento del pacchetto OpenSSH, l'eventuale compromissione di una o più chiavi SSH presenti sulle loro macchine, ed infine invitando tutti i propri utenti a cambiare le rispettive chiavi di accesso per abbattere il rischio attuale. Dal CERT non è giunta alcuna spiegazione o indiscrezione su come questo tipo di attacco possa essere partito. La possibilità più concreta, suggerisce qualcuno, è che tutto possa essere scaturito dal problema incontrato dalla distribuzione Debian (e tutte le sue derivate, come Ubuntu) negli scorsi mesi, a causa di un generatore di numeri random presente nel pacchetto OpenSSH rivelatosi ben poco abile nello svolgere il proprio lavoro. Inoltre, è di questa settimana la notizia che anche la repository di RedHat è stata presa di mira dai malintenzionati, e proprio i pacchetti OpenSSH sono stati oggetto di un tentativo di modifica probabilmente in previsione di questi eventi. In ogni caso, precisano gli esperti d'oltreoceano, l'attuale vulnerabilità non è legata alla struttura del sistema operativo Linux, ma alla singola buona osservanza delle opportune regole di protezione e manutenzione da parte dei gestori dei sistemi: "Se gli admin non rendono sicuro Linux - scrive Matt Asay - non sarà sicuro". Coloro i quali hanno provveduto ad applicare le patch necessarie a tempo debito, e tengono sotto controllo i log dell'accesso ai server, non dovrebbero correre rischi particolari in questa fase. Luca Annunziata Fonte: Punto Informatico __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

31-08-2008, 12:51	#2
c.m.g Senior Member Iscritto dal: Mar 2006 Messaggi: 22114	ripreso da webmasterpoint: http://www.webmasterpoint.org/news/f...hi_p32503.html __________________ Questa opera è distribuita secondo le regole di licenza Creative Commons salvo diversa indicazione. Chiunque volesse citare il contenuto di questo post deve necessariamente riportare il link originario.

01-09-2008, 00:54	#3
Frank Castle Member Iscritto dal: Dec 2002 Città: Como Messaggi: 287	Sta solo sfruttando le chiavi vulnerabili generate da OpenSSL su Debian prima di maggio 2008, bug corretto da almeno tre mesi che dà accesso solo a server con SSH impostato per l'autenticazione a chiave pubblica di client con chiavi vulnerabili... e pacchetti di sicurezza non aggiornati da mesi... Praticamente, già fixato e meno pericoloso di un exploit a una qualunque applicazione server... Ma si sa, pur di gridare allo scandolo sicurezza su sistemi Linux si fa di tutto (pur non volendo ignorare l'immane minchiata / sfiga dei developer debian per quel problema). __________________ Nove millimetri. Non sono mai più lontano di così.

Strumenti
Mostra una versione stampabile Invia questa pagina per email