Ancora problemi per l’SSH di GNU/Linux, no semplici disattenzioni da amministratore
La falla è una di quelle storiche, all’epoca risolta, ma ora sembra che qualcuno abbia rimesso le mani in pasta per sfruttare ancora una volta quello che è stato corretto.
Alcune chiavi SSH è finito nelle mani di alcuno balckhat che ora, grazie a tool di scanning, usano le credenziali per entrare in server che non sono stati aggiornati, una volta violato il sistema viene installato un rootkit chiamato phalanx2 che ricerca altre chiavi e si preoccupa di farne copie da inviare agli attaccanti in modo da avere più risorse per allargare il loro bacino di utenza delle macchine.
Il CERT ha pubblicato alcuni semplici passi da effettuare sulle proprie macchine per valutare eventuali infezioni basta infatti confrontare il contenuto della cartella /etc con l’uotput dichiarato dal comando ls della stessa cartella.
Se le vostre macchie sono state “violate” noterete la presenza di khubd.p2 non visibile dal comano ls.
Sembra che il tutto sia scaturito dal problemi del pacchetto SSH nella distro Debian e derivate le quali non calcolavano in modo “propriamente casuale” combinazioni casuali di numeri (anche se sappiamo che la casulità in questi casi non esiste).
In conclusione vediamo come ancora una volta i problemi di vulnerabilità dei sistemi GNU/Linux non siano imputabili al sistema operativo stesso ma ad una cattiva gestione e manutenzione delle macchine interessate.
Ciao a tutti.
A me fa molto ridere il fatto che PI sbandieri come notizia una cretinata che è stata già risolta da tempo, e qualsiasi distro debian contiene un pacchetto di chiavi blacklistate per evitare il problema.
Quando un mio amico mi linkò la notizia glielo spiegai.