En PC & Nätverksteknikers tankar

Säkerhetsorganisationen CERT varnar för att en elak linux mask vid namn Phalanx2, håller på att sprida sig över nätet och samla in SSH-nycklar.

Hackaren tar sig in i ett system via OpenSSH med hjälp av nycklar de kommit över. Även om Debians säkerhetsbrist inte nämns i sammanhanget är det troligt att hackaren tagit sig in i olika system den vägen och sedan fortsatt.

Debian hade missat att implementera en slumptalsfunktion när nya nycklar plockades fram och som källa användes bara ett tal mellan 1 och 65535. Att gissa en nyckel kunde därmed gå riktigt snabbt.

Efter ett lyckat intrång används en lokal säkerhetsbrist (local exploit) för att masken skall få administrativa rättigheter.

Masken som går under namnet Phalanx2 är en modifierad variant av ett rootkit vid namn Phalanx, och tar sig in i kärnan, gömmer sina filer, processer, sockets och öppnar upp en TTY i ditt system.

Phalanx2 är extra elak eftersom koden har utformats för att söka igenom ditt system efter andra SSH-nycklar och använda dem för att sedan hoppa till fler system.

Masken är ändå enkel att upptäcka. Om du kan ändra aktuell katalog till /etc/khubd.p2 så har du problem. (Katalogen syns inte i en ls-listning). Det kan även ligga filer som masken använt under /dev/shm.

CERT rekommenderar administratörer att bekräfta sina SSH-nycklar med starka lösenord för att minska stöldrisken.

Källa: HEP @ University of Chicago/CERT

En trojansk häst har upptäckts i program för MacOS X som kallas "PokerGame". Trojanen i fråga är ett "shell script" inkapslade i en ansökan och distribueras i ett 65 KB Zip-arkiv och uppackad är den 180 KB.

Den trojanska hästen när den körs aktiverar SSH på den Mac där den körs, och sedan skickas användarnamn och lösenords hash, tillsammans med IP-adressen till en server. Det begär administratörs lösenordet efter att en dialogruta med texten "A corrupt preference file has been detected and must be repaired."

Med SSH tillgång på en Mac, kan en angripare få total kontroll över den, radera filer, skada operativsystemet, och mycket mer.

Namn: OSX.Trojan.PokerStealer

Källa: Intego

Beskrivning:
Debian har utfärdat en uppdatering för OpenSSL. Detta fixar en del svagheter som kan utnyttjas av illasinnade personer att orsaka en DoS (Denial of Service) och potentiellt kompromettera ett sårbart system, och en fråga om säkerhet, vilket kan leda till svaga kryptografisk nyckel material.

1) De säkerhetsproblem som orsakas på grund av den slumpmässiga nummer generator i Debians openssl paketet är förutsägbar. Detta kan leda till en kryptografisk nyckel som alstras t.ex. för SSH-nycklar, OpenVPN nycklar, DNSSEC-nycklar, och viktiga material för användning i X.509-certifikat och session nycklar som används i SSL / TLS-anslutningar.
De säkerhetsproblem som rapporteras i Debians OpenSSL paket som börjar med 0.9.8c-1 (laddats upp till unstable distribution, från 2006-09-17) och påverkar alla nycklar som genererats med denna uppdatering.

2) Ett ospecificerat fel inom DTLS genomförandet kan utnyttjas av illasinnade personer att orsaka en DoS (Denial of Service) och potentiellt kompromettera ett sårbart system.


Lösning:
Installera de uppdaterade paketen och återskapa alla kryptografiska nycklar.