Tema:
Vaya ahora nos toco chequen esto
[quote]The U.S. Computer Emergency Readiness Team (CERT) has issued a warning for what it calls “active attacks” against Linux-based computing infrastructures using compromised SSH keys.
The attack appears to initially use stolen SSH keys to gain access to a system, and then uses local kernel exploits to gain root access. Once root access has been obtained, a rootkit known as “phalanx2″ is installed, US-CERT said in a note on its current activity site.
From the advisory:
* Phalanx2 appears to be a derivative of an older rootkit named “phalanx”. Phalanx2 and the support scripts within the rootkit, are configured to systematically steal SSH keys from the compromised system. These SSH keys are sent to the attackers, who then use them to try to compromise other sites and other systems of interest at the attacked site.
Phalanx, which dates back to 2005, is a self-injecting kernel rootkit designed for the Linux 2.6 branch. It allows an attacker to hide files, processes and sockets and includes a tty sniffer, a tty connectback-backdoor, and auto injection on boot.
Details on the attacks — and targets — remain scarce but it’s a safe bet this is linked to the Debian random number generator flaw that surfaced earlier this year. A working exploit for that vulnerability is publicly available.
To mitigate the risk from this attack, US-CERT recommends:
* Proactively identify and examine systems where SSH keys are used as part of automated processes. These keys will typically not have passphrases or passwords.
* Encourage users to use the keys with passphrase or passwords to reduce the risk if a key is compromised.
* Review access paths to internet facing systems and ensure that systems are fully patched.
If a compromise is confirmed, US-CERT recommends:
* Disable key-based SSH authentication on the affected systems, where possible.
* Perform an audit of all SSH keys on the affected systems.
* Notify all key owners of the potential compromise of their keys[/quote]
Fuente: http://blogs.zdnet.com/security/?p=1803&tag=nl.e539
Mucho cuidado con este rootkit llamado “phalanx2″
Comentarios
Esto les afecta solo a los
Esto les afecta solo a los Debian o leí mal ...???
bye
:)
Segun parece si solo a
Segun parece si solo a Debian checa esto
[quote]El problema criptográfico de Debian parece estar siendo aprovechado
activamente por atacantes
-------------------------------------------------------------------
US-CERT está advirtiendo a los administradores de que, posiblemente, el
famoso problema en la generación de números aleatorios que sufrió
OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado
(probablemente de forma automática) para instalar rootkits en servidores
Linux vulnerables.
En mayo la criptografía sufrió un grave revés. Se descubrió que el
generador de números aleatorios del paquete OpenSSL de Debian era
predecible. Las claves generadas con él en los últimos dos años ya no
eran fiables o verdaderamente seguras. A efectos prácticos, se podría
deducir la clave privada a partir de la pública de los usuarios, con lo
que la criptografía asimétrica dejaba de ser fiable para la
autenticación y para la confidencialidad. Pronto se generó todo el
espacio posible de claves vulnerables (públicas y privadas) y se
desarrollaron exploits específicos para poder acceder a sistemas SSH
protegidos con criptografía pública.
Los administradores que controlan sus sistemas a través de SSH se suelen
autenticar a través de su clave privada (el servidor de SSH almacena la
pública correspondiente). Esta es una alternativa a la autenticación a
través de la clásica contraseña simétrica. Si la pareja de claves ha
sido generada con el OpenSSL vulnerable, se puede hacer un ataque de
fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos
20 minutos con un ordenador de hoy día. Los que hayan protegido el uso
de las claves con contraseña, están en principio a salvo.
Aunque el US-CERT no habla de este problema en concreto, probablemente
es el que está siendo aprovechado para llevar a cabo estos ataques
durante estos días. Los atacantes están intentando acceder a servidores
con SSH activo, protegido por criptografía pública y claves privadas
vulnerables. Con esto consiguen acceso de forma fácil al sistema. Si el
kernel no está actualizado, utilizan algún exploit para conseguir acceso
local como root (existen decenas) y una vez dentro, instalan el rootkit
Phalanx2 que les permite (entre otras cosas) obtener otras claves SSH
para acceder a otros sistemas.
En el apartado de más información se ofrece información sobre cómo
detectar el rootkit.
Como advertíamos en mayo, el problema criptográfico del paquete OpenSSL
de Debian traerá de cabeza a los administradores durante mucho tiempo.
Fueron casi dos años de generación de claves vulnerables en cientos de
miles de máquinas, y pasará mucho tiempo hasta que todos los
administradores parcheen sus sistemas y sobre todo, vuelvan a generar
sus claves públicas y privadas con un sistema actualizado. [/quote]
Fuente: Hispasec
********
Salu2 and Have Fun