Los atacantes estarían utilizando claves SSH (Secure SHell) para log rar acceso a los equipos, en combinación con un rootkit (malware con capacidad de hacerse invisible).
Secure SHell (SSH) es un intérprete de comandos seguro, que además de ser un protocolo tiene un software que lo implementa. Al ser un sistema para conexiones en forma remota, utiliza claves para cifrar sus comunicaciones. Tiene la capacidad de ejecutar programas, copiar archivos, gestionar otros certificados para SSH y más.
Después de introducirse en el sistema, el rootkit capturaría las claves SSH existentes en el equipo, y de esta manera los atacantes obtendrían nuevos certificados para vulnerar otros ordenadores.
Los investigadores sospechan que se está explotando una vulnerabilidad en Debian, la que habría debilitado cualquier clave de seguridad generada anteriormente en el sistema.
Se recomienda tanto a los administradores como a los usuarios, que hagan una revisión de sus sistemas y certificados para descubrir si el sistema se encuentra comprometido o es vulnerable. Una de las características de este rootkit, es que oculta el directorio en que se instala (/etc/khubd.p2/). El comando "ls" no lo puede listar, pero si se puede acceder a él con el comando "cd".
Igualmente los sistemas deberían estar siempre actualizados para solucionar cualquier agujero de seguridad conocido, sea este explotado o no.
Entradas
0 comentarios