Une faille dans l’un des packages de la distribution Debian serait à l’origine de cette attaque, selon le CERT.
Le CERT US vient de signaler la possibilité d’une attaque autour des infrastructures Linux à partir de clefs SSH compromises. Après un accès au système local, des exploits sont utilisés pour obtenir un accès root. Un rootkit est alors installé et destiné à dérober d’autres clés SSH. Cette attaque pourrait être liée à une faille affectant les clés d’encryptage Debian, découverte il y a quelques mois.
L’attaque qui vise les infrastructures Linux Debian installe un rootkit connu sous le nom de Phalanx2, lequel est un dérivé d’un précédent rootkit baptisé Phalanx. Ce malware est configuré pour dérober les clefs SSH présentes sur le système corrompu. Ces clés sont alors envoyées aux hackers, lesquels peuvent alors les utiliser pour compromettre d’autres systèmes et ainsi de suite.
Selon toute vraisemblance, ces attaques seraient liées à une faille dans le générateur de nombres aléatoires présent dans le package OpenSSL Debian.
Les experts du CERT recommandent d’inspecter les systèmes où des clefs SSH sont utilisées dans des processus automatiques, et ils encouragent à insérer un mot de passe dans les clefs afin de réduire le risque, si d’aventure ladite clé était compromise.