La porte dérobée des sockets permet aux assaillants de contrôle de certains serveurs Linux

La porte dérobée des sockets permet aux attaquants de contrôler totalement certains serveurs LinuxJeremy Brooks / Flickr

Une porte dérobée furtive non détectée par les fournisseurs d’antimalware est donner aux attaquants inconnus le contrôle complet d’au moins 100 Linux serveurs qui semblent être utilisés dans des environnements de production d’entreprise, avertir les chercheurs.

Dans un article publié mercredi sur le blog, GoSecure, basé à Montréal, a prétendu qu’un malware appelé “Chaos” infecte mal systèmes sécurisés en devinant des mots de passe faibles protégeant un shell sécurisé Les administrateurs d’applications utilisent pour contrôler à distance les systèmes Unix. des ordinateurs. Le shell sécurisé ou SSH, les comptes compromis étant exécutés en tant que root, et c’est ainsi que la porte dérobée est capable d’obtenir un tel accès bien. Normalement, les pare-feu devant les serveurs bloquent ces portes dérobées de communiquer avec l’Internet extérieur. Une fois installé, Chaos contourne ces protections en utilisant ce qu’on appelle une “prise crue” pour surveiller secrètement toutes les données envoyées sur le réseau.

“Avec Chaos utilisant une socket raw, la porte dérobée peut être déclenchée sur ports exploitant un service légitime existant “, Sebastian Feldmann, un étudiant stagiaire à la maîtrise travaillant pour GoSecure, a écrit. “Comme un exemple, un serveur Web qui exposerait uniquement SSH (22), HTTP (80), et HTTPS (443) ne seraient pas accessibles via une porte dérobée traditionnelle en raison du fait que ces services sont utilisés, mais avec Chaos, devient possible. ”

Une fois installé, Chaos permet aux opérateurs de programmes malveillants n’importe où dans le monde. monde pour obtenir le contrôle complet du serveur via un shell inversé. L’attaquant peut utiliser leur perche privilégiée pour exfiltrer les personnes sensibles données, allez plus loin dans le réseau compromis, ou en tant que proxy pour dissimuler des piratages sur des ordinateurs en dehors du réseau. Pour activer le porte dérobée, les attaquants envoient un mot de passe faiblement crypté à l’un des ports de la machine infectée.

Les chercheurs de GoSecure ont déclaré que le mot de passe était facile pour eux. crack, car il a été codé en dur dans le malware en utilisant l’ancien Schéma de chiffrement DES. Cela signifie que les systèmes infectés ne sont pas accessible uniquement aux personnes qui ont planté le chaos à l’origine, mais par toute personne qui, comme GoSecure, investit les modestes ressources nécessaires pour casser le mot de passe. Les chercheurs ont effectué une analyse à l’échelle de l’Internet le 19 janvier et a détecté 101 machines infectées.

L’apathie est la meilleure amie des logiciels malveillants

Ils ont rapporté leurs conclusions au Canadian Cyber ​​Incident Centre d’intervention dans l’espoir d’amener les organisations concernées � désinfecter leurs systèmes. Un balayage mercredi, cependant, a montré que 98 serveurs sont restés infectés. Les systèmes compromis ont été localisés dans une variété de services d’hébergement de grands noms, y compris Cloudbuilders, Rackspace, Digital Ocean, Linode, Comcast et OVH.

En creusant plus avant dans le chaos, les chercheurs ont découvert que le malware était rien de plus qu’une version renommée d’une porte dérobée qui a été inclus dans un rootkit appelé SEBD – abréviation de Simple Backdoor crypté pour Linux – publié en 2013. Malgré sa disponibilité depuis plus de cinq ans, ce VirusTotal requête indique qu’aucun des 58 anti-malware les plus largement utilisés les services le détectent. GoSecure a en outre noté que les attaquants sont regrouper Chaos avec des logiciels malveillants pour un botnet qui est utilisé pour exploiter la crypto-monnaie connue sous le nom de Monero.

La principale faiblesse qui permet au chaos de se propager est l’utilisation d’un mot de passe faible pour protéger SSH. Les meilleures pratiques exigent que SSH soit protégé avec une clé cryptographique et un mot de passe fort. Le blog de mercredi fournit un ensemble d’indicateurs qui les administrateurs peuvent utiliser pour déterminer si l’un de leurs systèmes est compromis. Outre la désinfection des serveurs affectés, les administrateurs doivent assurez-vous que leurs applications SSH sont correctement protégées pour empêcher attaques similaires de réussir à nouveau.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: