Un rootkit más sigiloso acecha al kernel Linux

Dark Reading se ha hecho eco de una nueva amenaza de seguridad en forma de rootkits que atacan al kernel de Linux a través de /dev/mem. La demostración práctica de esta amenaza la realizará Anthony Lineberry, un experto en seguridad especializado en ingeniería inversa y búsqueda de vulnerabilidades, durante Black Hat, uno de los congresos de seguridad informática más prestigiosos a nivel europeo.

El peligro de este rootkit es que es bastante más difícil de detectar comparado con otros rootkits que atacan al kernel, aunque Lineberry asegura que no es tan sencillo como crear un módulo del kernel, sino que requiere un conocimiento en profundidad de las interioridades del kernel.

Un rootkit anda suelto

El Centro de Emergencias informáticas de Estados Unidos (US-CERT) ha puesto la voz de alarma sobre ataques a infraestructuras basadas en Linux. Estos ataques emplean claves SSH corruptas.

Aunque no hay nada concreto se cree que este ataque tiene mucho que ver con la vulnerabilidad OpenSSL que se detectó en Debian y sus derivados.

Al parecer, en primer lugar se utilizan claves SSH robadas para conseguir acceso al sistema. una vez dentro los atacantes emplean exploits (vulnerabilidades) del kernel para hacerse usuarios root. Tras tener todos los privilegios que te da una cuenta de root instalan un rootkit denominado Phalanx 2.

Este rootkit se dedica a robar claves SSH del sistema infectado para enviarlas a los atacantes y así poder entrar en más sistemas.

Con el fin de poder mitigar los posibles problemas el US-CERT ha redactado una serie de recomendaciones entre las que destacan las siguientes:

  • Examinar e identificar todos aquellos sistemas en los que se utilizan claves SSH para automatizar procesos.
  • Solicitar a los usuarios de esas máquinas que utilicen las claves SSH con frases de paso (passphrases) o contraseñas
  • Revisar todos los accesos a internet de esas máquinas y comprobar que cuenta con todos los parches necesarios

Y en caso de que el sistema haya sido atacado también existen recomendaciones importantes como deshabilitar la autenticación por SSH en las máquinas afectadas.

Leído en Zdnet vía Slashdot

Proudly powered by WordPress
Theme: Esquire by Matthew Buchanan.