Composé par
Nicolas
————— 08 Décembre 2018 à 20h46 —— 23340 vues
On a coutume de dire à tort et à travers que Linux est plus sécurisé que son homologue à la fenêtre. S'il est vrai que la logithèque de virus informatiques du pingouin est bien moins fournie que chez Microsoft, ça n'en fait pas un OS exempt de toute faille. A vrai dire, les pirates se focalisent sans surprise sur les utilisations les plus courantes de chaque OS, c'est donc sans surprise que la compagnie de sécurité informatique ESET a retrouvé des versions avariées d'une des solutions d'accès distant les plus courantes : OpenSSH. Le principe est simple : remplacer l'exécutable par une version modifiée remplie de backdoors.
Au total, ce sont pas moins de 12 variantes non documentées qui ont été découvertes (sur 21 en tout), la plupart opérant sous une approche identique : des identifiants de connexion hardcodés déclenchent un mode non sécurisé du logiciel de gestion des connexions, permettant de piquer des noms d'utilisateurs et les mots de passe associés. Assez surprenamment, les programmes pirates se sont révélés relativement peu obfusqués, voire même laissant leur fichier de log non-chiffré, ce qui a facilité le travail de découverte de la firme. Le plus souvent, les informations volées sont camouflées dans des faux fichiers header, ou des fausses bibliothèques dynamiques, et parfois même tout simplement dans le répertoire de données temporaire. Cela signifie que l'attaquant doit réussir conserver son accès direct à la machine après infection afin de récupérer ces données, limitant quelque peu la gravité de la faille. Sur les 21 failles, 9 d'entre elles envoient les données via le web sur des serveurs HTTP, HTTPS et OpenVPN, rien de bien sorcier à ce niveau, et parfois même par mail via la commande éponyme si cette dernière s'avère être disponible.
Un joli schéma récapitulant les menaces présentes
Pour découvrir tout cela, les chercheurs se sont basés sur une infection pourtant le nom d'
Ebury datant de 2014, et ont principalement surveillé les connexions suspectes via un script Perl sur des serveurs jouant le rôle d'appâts. Selon leurs découvertes, au moins 25000 serveurs auraient été touchés de part le monde, principalement transformés en machine à spam ou redirection de trafic, voire DDoS. Détails amusant : certains scripts commencent par tuer toutes les éventuelles infections minant sur la machine cible, on n'est jamais trop prudent !
Tux a l'air de ne pas trop en souffrir, c'est déjà ça !
Que faire en l'état ? Déjà, vérifier si votre système n'est pas compromis (
des identifications de ces menaces sont disponibles à cet effet). Le meilleur moyen consiste ensuite à sécuriser l'accès au serveur, déjà en désactivant la connexion au compte superutilisateur, l'idéal étant de désactiver complètement l’authentification par mot de passe et ne laisser que la possibilité de se connecter par clef. Pas facile, la sécurité !