Major bug i OpenSSL

Har lige opgraderet i Mint

Det er vigtigt at holde alt opgraderet.

I sidste nummer at "PClinuxOS magasin", er der omtalt et massivt
malware angreb på linux servere, bla. gennem en OpenSSH backdoor.

http://pclosmag.com/html/Issues/201404/editorial.html

En rapport om problemets omfang:
http://www.welivesecurity.com/wp-content/uploads/2014/03/operation_wind…

Har man en server kørende, kan man let se om den er angrebet ved at køre:

ssh -G 2>&1 | grep -e illegal -e unknown > /dev/null && echo "System clean" || echo "System infected"

Lidt uhyggeligt at angrebet har kørt så længe, uden at blive opdaget.

os.

#2:
I sidste nummer at "PClinuxOS magasin", er der omtalt et massivt
malware angreb på linux servere, bla. gennem en OpenSSH backdoor.

Egentligt ikke en backdoor mere et traditionelt rootkit ie den bug kom ind ved at en admin kørte et inficeret program med root privilegier.

OpenSSL fejlen her her langt værre eftersom det basalt set er alle certifikater der har været i brug med OpenSSL fra 2011 til idag. Og jeg ville ikke blive overasket hvis der udover de nævnte ting er en helt stribe meget kommercielle og meget dyre applikations servere og middleware løsninger der også er påvirket.

"Egentligt ikke en backdoor mere et traditionelt rootkit "
Ja helt klart en "påført" bagdør, ikke en fejl i OpenSSL.

Desværre kan chkrootkit og rkhunter ikke detektere angrebet.
http://www.thewhir.com/web-hosting-news/linux-malware-operation-windigo…

"introduceret i 2011" - netop derfor er det uhyggeligt at det først opdages,
eller offentliggøres nu, og at de kendte værktøjer, ikke kan detektere angrebet.

os.

#4:
Desværre kan chkrootkit og rkhunter ikke detektere angrebet.

Blacklist baserede antivirus/rootkit værktøjer har en fatal svaghed de kan kun detektere ting efter at fejlen er offentliggjort, og heuristik baserede virus scannere har så høj en fejlrate at de næsten må betegnes som snakeoil.

Grunden til at ckrootkit osv efterlades halvglemte er at er den eneste realle måde at løse problemet på er at installeret en ny god kopi fra en pålidelig kilde, selvom vi mangler en pakkemanager der kan verificere eksisterende system filer imod de oprindelige gode systemfiler, effektivt nok til at værre praktisk.

#3: Egentligt ikke en backdoor mere et traditionelt rootkit ie den bug kom ind ved at en admin kørte et inficeret program med root privilegier.

Efter at have skimmet pdf-artiklen (den er er 69 sider lang med teknisk info, så har ikke nærlæst den) er jeg stadig ikke helt klar over hvordan en server bliver inficeret i første omgang. Nogen der kan forklare det?

Artiklen råder også til at at gå bort fra kodeordadgang og i stedet bruge to-faktor authentification. Er det det samme som private/public key adgang?

"Replacing the SSH binaries or the shared library requires root privileges. How did the attackers initially obtain root privileges on my system?"

There are several scenarios that have been identified so far:
Login credentials for a user account with root privileges on the affected system were stolen when administrators logged in using SSH from a machine already infected with Ebury. The login credentials were then harvested from the outgoing SSH connection on the infected machine.
Login credentials for a user account with root privileges were stolen on Windows machines infected with an infostealer/keylogger malware when administrators logged in to the affected system using tools like PuTTY.
The network of cPanel Inc.'s support department was compromised and machines used for connecting to customers' servers were found to be infected with Ebury [4].
Some affected systems analyzed had been compromised by exploiting vulnerabilities in outdated software packages which led to the attackers gaining root privileges.

https://www.cert-bund.de/ebury-faq

os.

Ikke helt topic, men et interaktivt cyberthreat real-time map (Kaspersky)

http://cybermap.kaspersky.com/

#2
Både og. Man skal ikke bare opdatere uagtet, og uden at læse patchnotes. I dette tilfælde er det jo KUN de nyere/nyeste versioner af OpenSSL der er ramt, så i lige dette tilfælde, så holder teten ikke. (det er dog mere end undtagelse end regelen, og jeg er enig i at man skal opdatere så vidt muligt).

#4
Som nævnt, så finder disse sikkerhedsværktøjer kun vulnuberabitlies hvis de ER kendt. Det findes jo ingen magiske værktøjer der pludselig kan se om der en fejl.

#5
Angående rootkits, er der flere måder det kan gøres på.
Det er set at man via en usikker hjemmeside kan injecte ting direkte ned på serveren og eks. kører remote kommandoer direkte på serveren. Især kritisk hvis at serveren kører servicen som root.
Hvis vi tager dette OpenSSL eksempel kan man opsnappe root passwordet/ssl keyen og dermed får adgang til serveren i værste fald root adgang, og her kan man så installere en inficeret kerne / rootkit. (hvilket nok ikke er nødvendigt hvis først man har root adgang)...
På IKKE opdateret kerner, er det faktisk muligt at installere rootkits/inficeret kerne, som IKKE root bruger, og det er normalt dette man vil se.

Endnu en artikel om OpenSSL fejlen..
https://www.us-cert.gov/ncas/alerts/TA14-098A

Jeg kan derudover oplyse at debian sendte rettelsen ud i 2 omgange.
1) De sendte patchen
2) De sendte en opdatering, der genstaretede alle services man kørte der var ramt af denne bug. De anbefaler dog stadig at serveren genstartes.

"Det findes jo ingen magiske værktøjer der pludselig kan se om der en fejl"
Nej naturligvis ikke, men-
chkrootkit er ikke opdateret siden 2009, så den er nok bedst til at fange "antikviteter".
rkhunter er bedre opdateret. Brugsanvisning:
http://pclosmag.com/html/Issues/201311/page14.html

Er der nogen der kender "Linux Malware Detect".
https://www.rfxn.com/projects/linux-malware-detect/

LMD ville måske opdage et Windigo angreb.
"[New] detection and alerting of libkeyutils root compromised libraries"
https://www.rfxn.com/appdocs/CHANGELOG.maldetect

Global Botnet Map:
http://www.trendmicro.com/us/security-intelligence/current-threat-activ…

os.