SSHD Exploit?

[Mr.Check]

Moin moin,

habt ihr davon schon was gehört?

http://blog.solidshellsecurity.com/2013/02/18/0day-linuxcentos-sshd-spam-exploit-libkeyutils-so-1-9/

Scheint eine ganze Menge Server zu betreffen, in Deutschland habe ich davon bisher noch nichts gehört.

Auf WHT wird das Thema schon seit einigen Tagen eifrig diskutiert:

http://www.webhostingtalk.com/showthread.php?t=1235797

Die Spekulationen über das "Einfallstor" gehen von einem SSHD-Exploit über Sicherheitslücken in Webserver, Curl und PHP bis hin zu infizierten Client-PCs der Administratoren, was mir persönlich angesichts der jüngst bekannt gewordenen Sicherheitslücken in Flash, Java etc. auch nicht ganz unwahrscheinlich erscheint.


Von mir sind bisher keine Server betroffen (soweit man einen infizierten Server wirklich an der libkeyutils.so.1.9 erkennt), ich könnte mir vorstellen dass tatsächlich Client-PCs über eine infizierte Webseite in den Staaten ausgespäht wurden. Das passt mit den Hacks von Facebook und Apple ganz gut zusammen und soweit es sich bei der oder den infizierten Webseiten um US-Seiten handelt würde es erklären, warum in Deutschland noch nicht viel darüber zu lesen ist.


Erfahrungen? Meinungen? Hinweise?

 

[its]

ich administriere ein paar CentOS Server mit WHM und konnte noch nichts auffälliges finden.

Werde aber weiter die Augen offen halten.

 

[jeddix]

Mittlweile ist auch Debian dabei.

Da Kernelversionen von 2.6.x bis 3.X betroffen sind, erscheint mir die Lücke auch nicht auf Kernelebene angesiedelt zu sein.

Die libcurl ist dagegen in ziemlich vielen Programmen verwendet.

Das Abgreifen der SSH Passwörter auf ClientPCs wurde von einigen Poster mit kompromittierten verneint. Nun kann sich ja auch jeder noch irren, solange also keine Mehrheiten etwas bestätigen, bleibt nur die Analyse und das Ausschlussverfahren.

Und ausgeschlossen ist libcurl wohl noch nicht.
http://www.infoworld.com/d/security...ld-affect-large-number-of-applications-212532

 

[Lord Gurke]

AW: SSHD Exploit?

Es gibt dazu Neuigkeiten:
http://www.golem.de/news/sicherheit...inux-server-in-spam-schleuder-1302-97749.html

 

[Mr.Check]

Jupp, aber über die Verbreitung ist man sich leider immernoch uneins:

Wie sich das Rootkit verbreitet, ist noch unklar. Zunächst berichteten Anwender über lokale Angriffe mit einem Keylogger, der die Login-Daten über eine geöffnete Administrationsshell eines Client-Rechners ausliest und über den Port 53/UDP auf einen Server eines Angreifers überträgt. Inzwischen gibt es aber auch Berichte über einen Angriff aus der Ferne, etwa über eine Schwachstelle im Mailserver Exim oder eine noch nicht gepatchte Ptrace-Schwachstelle im Linux-Kernel bis Version 3.7.5. Eine Infektion über den Linux-Kernel schließen die meisten Betroffenen aber aus. Zumindest der Grad der Verbreitung deutet aber auf externe Angriffe hin.

Gibt es hier im Forum Admins mit betroffenen Servern?

 

[TerraX]

Soweit ich das richtig gelesen habe, geht der Angriff von entsprechenden Workstations der Admins aus, wo besagter Keylogger installiert wird.

 

[Mr.Check]

Soweit ich das richtig gelesen habe, geht der Angriff von entsprechenden Workstations der Admins aus, wo besagter Keylogger installiert wird.

Ja das ist eine der vielen Vermutungen, die ich persönlich aber auch für die wahrscheinlichste halte. Flash/Java/irgendwas-Sicherheitslücken gab es in letzter Zeit genug, um rund um den Globus Passwörter zu sammeln. Es wird auch davon berichtet, dass es evtl. sogar so abläuft, dass der Client des Admins von der Malware dazu gebracht wird, die Verbindung aufzubauen und die Backdoor-Datei zu installieren. Das wäre zumindest eine logische Erklärung, warum IP-Filter vor dem SSH-Port offensichlich keinen Schutz bieten.

 

[infinitnet]

Ob das wohl etwas damit zu tun haben könnte?

From: no-reply@cpanel.net
Sent: Friday, February 22, 2013 12:48 AM
To: ***********

Subject: Important Security Alert (Action Required)


Salutations,

You are receiving this email because you have opened a ticket with our support staff in the last 6 months. cPanel, Inc. has discovered that one of the servers we utilize in the technical support department has been compromised. While we do not know if your machine is affected, you should change your root level password if you are not already using ssh keys. If you are using an unprivileged account with "sudo" or "su" for root logins, we recommend you change the account password. Even if you are using ssh keys we still recommend rotating keys on a regular basis.

As we do not know the exact nature of this compromise we are asking for customers to take immediate action on their own servers. cPanel's security team is continuing to investigate the nature of this security issue.



--cPanel Security Team

PS: Ja, hat es wohl, steht auch so im WHT. Anscheinend handelt es sich dabei allerdings nicht um die Quelle *aller* Hacks. Es ist aber wohl richtig, dass es sich nicht um ein Exploit im SSHd o.Ä. handelt, sondern dass die Logins Client-seitig komprimitiert wurden.

 

[Spinx]

Hallo,

mein Englisch ist leider begrenzt, daher werde ich aus den geposteten Links nicht wirklich schlau. Soweit ich jetzt gelesen habe lässt sich der Exploit an der libkeyutils.so.1.9 erkennen oder liege ich da Falsch?

root@s4:~# md5sum /lib64/libkeyutils.so.1.9
md5sum: /lib64/libkeyutils.so.1.9: No such file or directory

Zur SIcherheit habe ich den Server aber dennoch mal vom Netz genommen. Mehr wie Redmine/SVN und TS3 laufen da eh nicht drauf.

 

[Mr.Check]

Hallo,

mein Englisch ist leider begrenzt, daher werde ich aus den geposteten Links nicht wirklich schlau. Soweit ich jetzt gelesen habe lässt sich der Exploit an der libkeyutils.so.1.9 erkennen oder liege ich da Falsch?

Ja das ist zumindest die offensichtlich am meisten verbreitete Datei. Aber auch von einer libkeyutils.so.1.2 wurde schon mehrfach berichtet. In jedem Fall legt dieser Exploit eine manipulierte libkeyutils-Datei an.

 

[Spinx]

Ok, Danke.
Beide Dateien sind bei mir nicht vorhanden.

 

[nevakee]

Parallels hat auch reagiert: http://kb.parallels.com/en/115589

 

[Bierteufel]

Gibt es denn aber schon gesicherte Erkenntnisse über die Verbreitung hierzu?

Die Meinungen gehen ja weit auseinander:

- "verseuchtes" Repo
- Keylogger
- Ausnutzen von Java & Co. Lücken
- Malware auf Smartphones auf denen Connectbot läuft..
- Kernellücke
- Cpanel / PSA / WHM
- etc..

 

[Mr.Check]

Was wirklich gesichertes wird es vermutlich so schnell (wenn überhaupt) nicht dazu geben.

Nach Studium vieler Quellen und Foren zu diesem Theme halte ich nach wie vor die von dir genannten Varianten

- Keylogger
- Ausnutzen von Java & Co. Lücken

für die wahrscheinlichsten. Ist ja quasi das gleiche, die Frage ist nur ob durch eine Sicherheitslücke im System Passwörter und/oder PubKeys ausgelesen wurden oder ob der Zugriff sogar über die befallenen Rechner erfolgte.

- "verseuchtes" Repo
- Kernellücke
- Cpanel / PSA / WHM

Diese Varianten kann man wahrscheinlich mittlerweile ausschließen. Bei einem verseuchten Repo oder einer Kernellücke wäre die Verbreitung eine ganz andere, gleiches gilt für eine Lücke im Control Panel (wobei ja sogar Systeme mit unterschiedlichen Control Panels) betroffen sind. Der verdächtig hohe Anteil von befallenen Systemen mit WHM/cPanel lässt sich dadurch erklären, dass der cPanel-Support befallene Workstation(s) gemeldet hat. Womit wir wieder bei der Ausgangsthese wären ;-)

 

[Bierteufel]

So ist es...

http://www.webhostlist.de/2013/02/sshd-rootkit-nach-cpanel-hack/

 

[Bierteufel]

News from CPANEL:

cPanel, Inc. Announces Additional Internal Security Enhancements

This is a follow up on the status of the security compromise that cPanel, Inc. experienced on Thursday, February 21, 2013.

As mentioned in our email sent to cPanel Server Administrators who’ve opened a ticket with us in the past 6 months, on February 21 we discovered that one of the proxy servers we utilize in the technical support department had been compromised. The cPanel Security Team’s investigation into this matter is ongoing.

We’d like to relay additional details about the intrusion that we have gathered with you, and we want to explain what preventative measures we’re putting in place that will introduce additional layers of security to our new and existing systems, already in place. How the server was accessed and compromised is not clear, but we know a few key facts that we’re sharing.

Here’s what we know:

* The proxy machine compromised in this incident was, at the time, utilized to access customer servers by some of our Technical Analysts. It's intent was to provide a layer of security between local & remote workstations and customer servers.

* This proxy machine was compromised by a malicious third-party by compromising a single workstation used by one of our Technical Analysts.

* Only a small group of our Technical Analysts uses this particular machine for logins.

* There is no evidence that any sensitive customer data was exposed and there is no evidence that the actual database was compromised.
Here’s what we’re doing about it:

Documentation is now provided at: http://go.cpanel.net/checkyourserver which we encourage system administrators to use to determine the status of their machine.

We have restructured the process used to access customer servers to significantly reduce the risk of this type of sophisticated attack in the future. We have also been working on implementing multiple changes to our internal support systems and procedures as outlined for your information below.

* Our system will now generate and provide you with a unique SSH key for each new support ticket submitted.

* We are providing tools to authorize and de-authorize SSH keys and instructions on how to use them whenever you submit a ticket.

* Our system will generate a single-use username and password credentials for accessing WebHost Manager that are only valid while our staff is logged into your server.

* Additional enhancements are also planned behind the scene that should be transparent to our customers.

With these new layers of security in place, it is now possible for our Technical Analysts to service your support requests without you providing your server’s password for nearly all requests involving machines running our cPanel & WHM product going forward. However, we will still offer the ability to provide your password for server migrations, or in the event you cannot use SSH keys.

cPanel’s Internal Development Team has been working on an automated solution with the end goal of eliminating the need for our Technical Analysts to view any passwords you provide during the ticket submission process. We are testing this solution right now, and hope to have it fully implemented in the next few days.

cPanel, Inc. understands your concerns expressed over the last few days, and we very much appreciate the cooperation and patience you have provided us during this time as we work through all of this.

Thank you.