• Tweet

Se han liberado ataques que se dirigen contra sistemas Linux con llaves SSH comprometidas ha advertido el CERT Estadounidense.

Los ataques parecen usar llaves SSH robadas para colgarse de la maquina victimada y posteriormente ganar acceso como superusuario aprovechando una debilidad del Kernel. Los ataques a después de esto instalan un rootkit conocido como Phalanx2, el cual realiza un barrido en el sistema para buscar llaves SSH adicionales. Este tipo de ataque muestra un aspecto virulento. Mientras mas llaves SSH son robadas, nuevas máquinas son potenciales víctimas de este ataque.

Las recomendaciones del CERT no mencionan la imperfección en el sistema generador de números aleatorios en Debian, pero probablemente ese es el punto inicial del ataque. La falla provocaba que llaves SSL generadas en más de un año fueran predecibles de tal manera que pudieran ser estimadas en cuestión de horas. Debian solucionó este problema en mayo.

Una vez que un equipo servidor Linux ha sido identificado y vulnerado su superusuario, de manera inmediata cede las llaves que utiliza para conectarse a otros equipos. Aunque estas llaves no sean susceptibles al error de Debian, los atacantes pueden usarlas para acceder a los servidores que las usan si se incluyen tanto la llave pública como privada. Además, los atacantes pueden identificar otros servidores que se han conectado recientemente al servidor, información que podría conducir a nuevos problemas.

Phalanx2 es una variante de otro rootkit conocido como Phalanx. De acuerdo a Packet Storm, Phalanx es un rootkit de autoinyección en el Kernel diseñado para la rama del Kernel de Linux 2.6, que esconde archivos, procesos y sockets e incluye herramientas para rastrear un program en tty y conectarse a él con un backdoor. Phalanx2 ha sido actualizado para robar de manera sistemática llaves SSH.

Afortunadamente Phalanx2 es relativamente fácil de detectar. Un signo es pedir un "ls" en la línea de comandos y comprobar que falla para mostrar un directorio "/etc/khubpd.p2" aunque sí es capaz de accederlo con el comando "cd". Además la carpeta "dev/shm" puede contener archivos usados en el ataque.

Muchas herramientas pueden ser usadas para rastrear llaves vulnerables. Además el CERT recomienda usar llaves con frases de paso más fuertes para reducir el riesgo de robo de una llave.

"Sigo pensando que este es un problema que los administradores de sistemas debieron haber manejado desde hace ya mucho tiempo". dijo Bill Stearns, un investigador en seguridad y administrador de incidentes para el SANS Internet Storm Center. "Es un asunto importante. Si ellos no se han percatado de esto, otros lo harán por ellos".