L’allarme è stato lanciato dal CERT statunitense nelle scorse ore: i sistemi equipaggiati con Linux sono al centro dell’attenzione dei malintenzionati, che hanno da poco intrapreso una massiccia campagna di sondaggio dei server alla ricerca di varchi nei quali penetrare. Una volta individuata una preda vulnerabile, i cracker si insinuano tra le pieghe del sistema, installando l’evoluzione di un tool maligno già noto, allo scopo di allargare la fetta dei server sotto il loro controllo.
Il problema, secondo CERT , sarebbe legato alla vulnerabilità di cui ha sofferto in passato il pacchetto OpenSSH : un certo numero di chiavi è finito tra le mani dei blackhat, che ora le sfruttano per penetrare nei sistemi che non siano stati aggiornati. Una volta dentro, un exploit locale viene lanciato per prendere il controllo della macchina e provvedere ad installare un rootkit denominato phalanx2 : derivato dall’omonimo progenitore, il suo compito è andare alla ricerca di altre chiavi SSH e farne una copia per gli attaccanti, così da allargare il cerchio dell’infezione ad altri sistemi.
Pochi e semplici, secondo le indicazioni fornite dagli esperti statunitensi, i passaggi necessari a verificare l’eventuale infezione del proprio sistema. Un semplice ls non sarebbe in grado di rivelare la directory nascosta /etc/khubd.p2/ , accessibile in ogni caso con il comando cd . Altri metodi per individuare l’infezione sono la ricerca di eventuali processi nascosti in esecuzione, oppure la verifica a mano del contenuto della directory /etc rispetto a quanto restituito da ls in una console.
Naturalmente nei prossimi giorni è lecito attendersi alcune modifiche al modus operandi dei malintenzionati, così come al codice e alle caratteristiche del rootkit installato. Per questo, dal CERT parte l’appello a tutti gli amministratori affinché tengano d’occhio i sistemi Linux a loro affidati, verificando l’aggiornamento del pacchetto OpenSSH , l’eventuale compromissione di una o più chiavi SSH presenti sulle loro macchine, ed infine invitando tutti i propri utenti a cambiare le rispettive chiavi di accesso per abbattere il rischio attuale.
Dal CERT non è giunta alcuna spiegazione o indiscrezione su come questo tipo di attacco possa essere partito. La possibilità più concreta, suggerisce qualcuno, è che tutto possa essere scaturito dal problema incontrato dalla distribuzione Debian (e tutte le sue derivate, come Ubuntu) negli scorsi mesi, a causa di un generatore di numeri random presente nel pacchetto OpenSSH rivelatosi ben poco abile nello svolgere il proprio lavoro. Inoltre, è di questa settimana la notizia che anche la repository di RedHat è stata presa di mira dai malintenzionati, e proprio i pacchetti OpenSSH sono stati oggetto di un tentativo di modifica probabilmente in previsione di questi eventi.
In ogni caso, precisano gli esperti d’oltreoceano, l’attuale vulnerabilità non è legata alla struttura del sistema operativo Linux, ma alla singola buona osservanza delle opportune regole di protezione e manutenzione da parte dei gestori dei sistemi: “Se gli admin non rendono sicuro Linux – scrive Matt Asay – non sarà sicuro”. Coloro i quali hanno provveduto ad applicare le patch necessarie a tempo debito, e tengono sotto controllo i log dell’accesso ai server, non dovrebbero correre rischi particolari in questa fase.
Luca Annunziata