Des chercheurs en sécurité viennent de signaler la possibilité d’une attaque autour des infrastructures Linux à partir de clefs SSH compromises. Après un accès au système local, des exploits sont utilisés pour obtenir un accès root. Un rootkit est alors installé et destiné à dérober d’autres clefs SSH. Cette attaque pourrait être liée à une faille affectant les clefs d’encryptage Debian, découverte il y a quelques mois.

L’attaque qui vise les infrastructures Linux Debian installe un rootkit connu sous le nom de Phalanx2, lequel est un dérivé d’un précédent rootkit baptisé Phalanx. Ce malware est configuré pour dérober les clefs SSH présentes sur le système corrompu. Ces clefs sont alors envoyées aux hackers, lesquels peuvent alors les utiliser pour compromettre d’autres systèmes et ainsi de suite. Rappelons que les clefs SSH offrent pour les clients voulant accéder à des serveurs des connexions sûres et chiffrées.

Selon toute vraisemblance, ces attaques seraient liées à une faille dans le générateur de nombres aléatoires présent dans le package OpenSSL Debian.

Le CIRT-BF recommande aux administrateurs d’inspecter les systèmes où des clefs SSH sont utilisées dans des processus automatiques, et encourage à insérer un mot de passe dans les clefs afin de réduire le risque, si d’aventure ladite clé était compromise.