Alerte sur des attaques et un rootkit sur Linux

Le CERT américain, l'US Computer Emergency Readiness Team, a publié une alerte suite à la détection d'attaques contre des systèmes Linux par le biais de clefs SSH compromises. Grâce à des clefs SSH dérobées, des pirates mèneraient actuellement des attaques ciblées contre des serveurs sous Linux afin de pénétrer puis obtenir un accès root. Une fois l'intrusion réussie, un rootkit est installé sur le serveur compromis : Phalanx2. Celui est conçu spécifiquement pour dérober d'autres clefs SSH, permettant ainsi d'attaquer de nouvelles cibles. Une faille dans le générateur de nombre aléatoire de Debian pourrait être à l'origine des attaques. La vulnérabilité permet de casser en quelques heures des clefs SSL générées depuis plus d'un an. Le bulletin d'alerte du CERT n'établit toutefois pas de lien entre la faille et les attaques.