Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Угрозы безопасности: модификации PAM приводят к краже данных

3
2 мин
Сбор учетных данных с помощью подключаемых модулей аутентификации (PAM) представляет собой серьезную угрозу безопасности, особенно в системах Linux и Solaris. Данный метод позволяет злоумышленникам модифицировать модули PAM для перехвата учетных данных аутентификации, которые затем могут быть переданы на сервер управления (C2) или получены злоумышленником вручную. Дизайн PAM, который отделяет логику аутентификации от приложений, обеспечивает использование централизованного метода аутентификации такими сервисами, как login и sshd. Это делает PAM привлекательной мишенью для хакеров, стремящихся использовать его модульную природу. Так, были замечены известные хакерские группы, такие как UNC1945, использующие бэкдоры в PAM на серверах Solaris для кражи учетных данных, что облегчает перемещение в скомпрометированных средах. Группа UNC2891 также широко использует бэкдоры на основе PAM, модифицируя модуль pam_unix.so для записи учетных данных в скрытые файлы. Эта манипуляция приводит к замене
Оглавление
Источник: www.group-ib.com
Источник: www.group-ib.com

Сбор учетных данных с помощью подключаемых модулей аутентификации (PAM) представляет собой серьезную угрозу безопасности, особенно в системах Linux и Solaris. Данный метод позволяет злоумышленникам модифицировать модули PAM для перехвата учетных данных аутентификации, которые затем могут быть переданы на сервер управления (C2) или получены злоумышленником вручную.

Уязвимости PAM и использование хакерами

Дизайн PAM, который отделяет логику аутентификации от приложений, обеспечивает использование централизованного метода аутентификации такими сервисами, как login и sshd. Это делает PAM привлекательной мишенью для хакеров, стремящихся использовать его модульную природу. Так, были замечены известные хакерские группы, такие как UNC1945, использующие бэкдоры в PAM на серверах Solaris для кражи учетных данных, что облегчает перемещение в скомпрометированных средах.

Методы атак

Группа UNC2891 также широко использует бэкдоры на основе PAM, модифицируя модуль pam_unix.so для записи учетных данных в скрытые файлы. Эта манипуляция приводит к замене легитимной версии pam_unix.so на скомпрометированную, записывающую все успешные входы в систему.

  • Перехват учетных данных без обнаружения.
  • Повышение возможностей перемещения злоумышленников в скомпрометированных системах.

Рекомендации для повышения безопасности

Хотя эти атаки в значительной степени затрагивают Solaris, ядро Linux также находится под угрозой. Чтобы снизить риски, связанные с получением учетных данных PAM, настоятельно рекомендуется перейти на аутентификацию на основе ключей. Это изменение устраняет необходимость в паролях во время процесса аутентификации, что делает сбор учетных данных на основе PAM неэффективным.

Кроме того, благодаря исключению этапа обмена учетными данными система становится более устойчивой к несанкционированному доступу и более широким последствиям кражи учетных данных.

Поскольку ситуация с угрозами продолжает развиваться, для организаций важно принимать надежные меры безопасности против таких сложных методов атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Угрозы безопасности: модификации PAM приводят к краже данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются