Уязвимость PAM в Linux: бэкдор для кражи учётных данных
Источник: www.nextron-systems.com
Экспертный анализ: Опасный бэкдор в PAM-модуле Linux угрожает безопасности аутентификации
Платформа Pluggable Authentication Modules (PAM) в операционных системах Linux играет критически важную роль в управлении процессом аутентификации. Однако именно этот компонент, несмотря на свою фундаментальную значимость, становится объектом атак злоумышленников. Недавний анализ выявил существование бэкдора, реализованного в виде вредоносного PAM-модуля объемом менее 100 строк кода — простой, но при этом крайне эффективный инструмент кражи учетных данных и обхода механизмов аутентификации.
Механизмы работы вредоносного PAM-модуля
Вредоносные PAM-модули внедряются напрямую в процесс аутентификации, поскольку они загружаются во время выполнения и обладают прямым доступом к конфиденциальной информации пользователей. Злоумышленники могут обходиться без изменения системных бинарных файлов, что значительно усложняет обнаружение бэкдора:
- Вредоносные модули размещаются на диске в каталоге системных библиотек, например, в
/lib/security. - Конфигурация PAM настроена так, чтобы загружать эти модули при аутентификации пользователя.
- Обновление или внесение изменений в двоичные файлы не требуется, что снижает вероятность обнаружения вмешательства.
Стоит отметить, что даже более сложные техники, такие как патчинг модулей непосредственно в памяти или динамическая загрузка, остаются технически выполнимыми и еще более опасными в плане скрытности.
Функциональные особенности вредоносного модуля
Вредоносный модуль тесно взаимодействует с функцией pam_sm_authenticate(), ответственным за проверку подлинности пользователей. Благодаря этому, он способен:
- Совершенно обходить аутентификацию с помощью жестко закодированного пароля, позволяя злоумышленнику выдать себя за любого пользователя в системе.
- Отправлять на сервер управления (C2) предупреждения при успешном обходе, обеспечивая своим создателям оперативный контроль над взломанной системой.
- Захватывать критические данные, такие как имена пользователей, пароли и порты, используемые для SSH, и передавать их злоумышленникам, что создает возможность обратного подключения к уязвимому хосту.
Рекомендации по защите и обнаружению угрозы
В ответ на выявленные уязвимости специалисты по кибербезопасности рекомендуют внедрить комплекс мер по защите и обнаружению подобных инцидентов:
- Проводить регулярную проверку целостности всех общих объектов в
/lib/securityс использованием заведомо надежных хеш-сумм. - Тщательно мониторить и анализировать изменения в конфигурационных файлах PAM, в частности в
/etc/pam.d/*. - Использовать системы аудита, позволяющие отслеживать загрузку модулей PAM и подозрительную активность.
- Особое внимание уделять логам аутентификации, обнаруживая неожиданные успешные попытки входа, особенно обходящие многофакторную аутентификацию.
- Применять инструменты типа THOR для поиска поведенческих аномалий в разных системах и своевременно обновлять сигнатуры с помощью
thor-util upgrade.
Выводы и значимость инцидента
Этот кейс демонстрирует, насколько серьезную опасность представляют даже простые, но хорошо замаскированные вредоносные модули в жизненно важных системных компонентах Linux. Злоумышленники, используя минимальные уязвимости и глубокое понимание механизмов доверия в ОС, способны добиться полного контроля над системой без необходимости сложных вредоносных программ.
Таким образом, безопасность PAM-модулей должна стать приоритетом для всех системных администраторов и специалистов по кибербезопасности, работающих с Linux-серверами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
