SSH-Attacke auf Linux
Linux wird auf Rootkit-Ebene angegriffen. Dabei kommen nach bisherigem Kenntnisstand gestohlene SSH-Schlüssel zum Einsatz. Diese können Hackern unter Umständen Zugang zum System verschaffen.
Die Rootkit-Angriffe auf dieser Ebene sind deshalb besonders gefährlich. Meist werden sie nach Angaben des US-CERT dadurch verursacht, dass gewisse Prozesse dafür verantwortlich sind. In diesen werden automatisch generierte SSH-Schlüssel verwendet. Da diese nicht durch Passwörter geschützt sind, oder aber sehr vorhersagbare Passwörter verwenden, liegt hier eine Schwachstelle. Diese kann nach den Angaben durch die manuelle Suche und die Eingabe sicherer Passwörter entschärft werden.
Außerdem raten die Experten den Administratoren zur Aktiven Suche nach dieser Schwachstelle. Sobald ein Schlüssel manipuliert wurde, sollten alle Nutzer zu Verwendung von SSH -Schlüsseln mit sicheren Passwörtern angehalten werden. Zum dritten sollten die möglichen digitalen Zugangswege in Richtung Internet auf verdächtige Spuren hin untersucht und notfalls neu abgesichert werden. Auch dabei empfehlen die Experten eine Neubelegung der voreingestellten Sicherheitsfeatures, wo noch nicht geschehen. Auch die vollständige Versorgung mit Patches an allen Stellen, die aus dem Unternehmensnetz hinausweisen, wird dringend angeraten.
Sollte der Angriff und die Installation von Phalanx2 bereits erfolgt sein, so können folgende Schritte helfen: Wo auch immer möglich sollte die schlüsselbasierte SSH-Authentifizierung abgeschaltet werden. Eine intensive Prüfung aller SSH-Schlüssel des betroffenen Systems steht für die Verantwortlichen als nächstes auf dem Programm. Gleichzeitig sollten alle SSH-Nutzer so schnell wie möglich über die Situation in Kenntnis gesetzt werden, rät das US-CERT.
Von anderer Seite gibt es erste Verdachtsmomente, woher die Fehler kommen könnten. Eine mehrere Monate alte Lücke in Debian, die in der zufälligen Generierung von Zahlen lag, könnte die Ursache sein. Dadurch sind Zahlenreihen generiert worden, die vorhersagbar waren. Auch wenn es inzwischen einen Patch für die Lücke gibt, konnte sie offenbar für Phalanx2 verwendet werden, hieß es in einem Blog aus Kreisen des SANS Internet Storm Center. Das US-CERT hält Admins über Neuheiten dazu auf dem Laufenden und stellt derzeit erste Informationen zur Verfügung, wie die Lücke gefunden werden kann.
