OpenSSH violato
L'allarme è stato lanciato dal CERT statunitense nelle scorse ore: i sistemi equipaggiati con Linux
sono al centro dell'attenzione dei malintenzionati, che hanno da poco
intrapreso una massiccia campagna di sondaggio dei server alla ricerca
di varchi nei quali penetrare. Una volta individuata una preda
vulnerabile, i cracker si insinuano tra le pieghe del sistema,
installando l'evoluzione di un tool maligno già noto, allo scopo di
allargare la fetta dei server sotto il loro controllo.
Il problema, secondo CERT, sarebbe legato alla vulnerabilità di cui ha sofferto in passato il pacchetto OpenSSH:
un certo numero di chiavi è finito tra le mani dei blackhat, che ora le
sfruttano per penetrare nei sistemi che non siano stati aggiornati. Una
volta dentro, un exploit locale viene lanciato per prendere il
controllo della macchina e provvedere ad installare un rootkit denominato phalanx2: derivato dall'omonimo progenitore, il suo compito è andare alla ricerca di altre chiavi SSH e farne una copia per gli attaccanti, così da allargare il cerchio dell'infezione ad altri sistemi.
Pochi e semplici, secondo le indicazioni fornite dagli esperti statunitensi, i passaggi necessari a verificare l'eventuale infezione del proprio sistema. Un semplice ls non sarebbe in grado di rivelare la directory nascosta /etc/khubd.p2/, accessibile in ogni caso con il comando cd.
Altri metodi per individuare l'infezione sono la ricerca di eventuali
processi nascosti in esecuzione, oppure la verifica a mano del
contenuto della directory /etc rispetto a quanto restituito da ls in una console.
Naturalmente nei prossimi giorni è lecito attendersi alcune modifiche
al modus operandi dei malintenzionati, così come al codice e alle
caratteristiche del rootkit installato. Per questo, dal CERT parte
l'appello a tutti gli amministratori affinché tengano d'occhio i
sistemi Linux a loro affidati, verificando l'aggiornamento del pacchetto OpenSSH, l'eventuale compromissione di una o più chiavi SSH presenti sulle loro macchine, ed infine invitando tutti i propri utenti a cambiare le rispettive chiavi di accesso per abbattere il rischio attuale.
Dal
CERT non è giunta alcuna spiegazione o indiscrezione su come questo
tipo di attacco possa essere partito. La possibilità più concreta, suggerisce qualcuno, è che tutto possa essere scaturito dal problema incontrato dalla distribuzione Debian
(e tutte le sue derivate, come Ubuntu) negli scorsi mesi, a causa di un
generatore di numeri random presente nel pacchetto OpenSSH rivelatosi
ben poco abile nello svolgere il proprio lavoro. Inoltre, è di questa settimana la notizia che anche la repository di RedHat è stata presa di mira dai malintenzionati, e proprio i pacchetti OpenSSH sono stati oggetto di un tentativo di modifica probabilmente in previsione di questi eventi.
In ogni caso, precisano
gli esperti d'oltreoceano, l'attuale vulnerabilità non è legata alla
struttura del sistema operativo Linux, ma alla singola buona osservanza delle opportune regole di protezione e manutenzione da parte dei gestori dei sistemi: "Se gli admin non rendono sicuro Linux - scrive
Matt Asay - non sarà sicuro". Coloro i quali hanno provveduto ad
applicare le patch necessarie a tempo debito, e tengono sotto controllo
i log dell'accesso ai server, non dovrebbero correre rischi particolari
in questa fase.
Tratto da puntoinformatico-Luca Annunziata
