US-CERT ha publicado alerta sobre un aumento de ataques en sistemas basados en Linux, usando para ellos claves SSH comprometidas referidas al fallo de Debian en la generación de claves SSH.
Un usuario local puede ejecutar «exploits» contra las vulnerabilidades del kernel y logra así obtener privilegios de «root», una vez tomado el control (root) podrá instalar el rootkit «phalanx2».
Phalanx2 es un derivado de un antiguo rootkit llamado «phalanx». Tanto Phalanx2 como los scripts de soporte para el rootkit están configurados para robar de sistemáticamente claves SSH del sistema comprometido, las claves conseguidas son utilizadas para atacar nuevos sistemas.
US-CERT publica algunas recomendaciones para detectar Phalanx2:
1. «ls» no muestra la carpeta «/etc/khubd.p2/», pero se puede acceder usando «cd /etc/khubd.p2».
2. «/dev/shm/» puede contener archivos de ataque.
3. Cualquier carpeta llamada «khubd.p2» se oculta del comando «ls», pero es posible acceder usando el comando «cd».
Cambios en la configuración del rootkit pueden modificar las indicaciones señaladas anteriormente; otros métodos de detección pueden incluir búsquedas de procesos ocultos y comparar los resultados contenidos en «/etc» con el numero de carpetas mostradas por «ls».
US-CERT recomienda a los administradores las siguientes acciones para poder mitigar los riesgos:
1. Identificar y revisar proactivamente los sistemas que usen claves SSH como parte de procesos automáticos. Estas claves típicamente no suelen contar con contraseñas.
2. Utilizar las claves con contraseña para reducir el riesgo en caso de que una clave haya sido comprometida.
3. Revisar las rutas de entrada a los sistemas con acceso a Internet y verificar que se encuentran correctamente actualizados.
Si su equipo está comprometido:
1. Deshabilitar la autenticación SSH en el sistema afectado, siempre que sea posible.
2. Revisar y auditar las claves SSH de los sistemas afectado.
3. Notificar a los propietarios de las claves sobre la posibilidad que su clave haya sido comprometida.
Referencias:
J2Security 