Американское полугосударственное агентство
компьютерной безопасности US-CERT (U.S. Computer Emergency Readiness Team)
предупреждает об основанных на краже или взломе SSH-ключей "активных
атаках" на Linux-системы.
Атаки используют украденные ключи для
получения исходного доступа к системе, чтобы затем, используя локальные
уязвимости ядра, получить рутовый доступ и установить руткит, известный как
phalanx2 (модификацию известного с 2005 года руткита phalanx). Он позволяет
взломщику скрывать файлы, процессы и сокеты и включает в себя сниффер,
tty-бэкдор и автоматическую самозагрузку при старте системы. Особенности работы
руткита и возможные методы его обнаружения можно посмотреть на сайте US-CERT.
Для
уменьшения опасности подвергнуться атаке CERT рекомендует по возможности
использовать пароли для доступа к системе вместо SSH-ключей, а также проверить
системы аутентификации и наложить все необходимые патчи.
Если
подтвердится предположение, что атаки используют недавно выявленную уязвимость
генератора случайных чисел в Debian, агентство, возможно, порекомендует
отказаться от аутентификации по SSH-ключам и провести полный аудит затронутых
систем.
