Un Nuovo Rischio per Linux: PamDOORa, la Backdoor che Ruba Credenziali SSH

Recenti ricerche nel campo della cybersecurity hanno svelato un nuovo pericolo per i sistemi Linux: una backdoor chiamata PamDOORa, disponibile sul forum russo di cybercriminalità Rehub per 1.600 dollari. Questa minaccia, presentata da un attore con il nome di “darkworm”, utilizza i moduli di autenticazione pluggable (PAM) per garantire accessi persistenti e non autorizzati ai sistemi attraverso SSH, sfruttando una combinazione di password e porte TCP specifiche.

Funzionamento e Rischi di PamDOORa

PamDOORa si propone come un toolkit post-exploit, permettendo ai malintenzionati di mantenere l’accesso ai server attraverso OpenSSH dopo una violazione iniziale. Assaf Morag, ricercatore di Flare.io, ha evidenziato che questo strumento potrebbe installarsi in modo persistente su sistemi Linux a 64 bit. Nella sua struttura, PamDOORa rappresenta la seconda backdoor Linux progettata per attaccare i moduli PAM, una struttura di sicurezza fondamentale nei sistemi Unix/Linux che consente di integrare vari meccanismi di autenticazione senza dover modificare il codice già esistente.

Questa vulnerabilità è particolarmente allarmante poiché i moduli PAM sono tipicamente eseguiti con privilegi di root. Ciò significa che un modulo compromesso può generare rischi significativi per la sicurezza, aprendo la porta a furti di credenziali e accessi non autorizzati. Infatti, la capacità di PamDOORa di raccogliere informazioni da tutti gli utenti che si autenticano attraverso il sistema compromesso rende questo malware estremamente pericoloso.

Potenzialità e Implicazioni nel Mondo Reale

Nonostante attualmente non ci siano prove che PamDOORa sia stata impiegata in attacchi reali, è plausibile che i malintenzionati ottengano prima l’accesso root a un host in altro modo, per poi installare il modulo PAM PamDOORa e avviare così una serie di attacchi mirati. In questo contesto, la pratica di ridurre il prezzo della backdoor a 900 dollari, quasi il 50% in meno rispetto al prezzo di lancio, suggerisce che ci possa essere una mancanza di interesse da parte degli acquirenti o l’urgenza di concludere vendite.

Le caratteristiche di PamDOORa non si limitano solo al furto di credenziali; la backdoor integra anche capacità anti-forensi, permettendo ai criminali informatici di alterare i log di autenticazione e cancellare le tracce delle loro attività illecite. Ciò rende la rilevazione e la risposta a tali attacchi ancora più complicate per le aziende.

Conclusione: Vigilanza e Precauzioni Necessarie

Per le imprese italiane che utilizzano sistemi Linux, la diffusione di PamDOORa sottolinea l’importanza di implementare misure di sicurezza robuste. Monitorare attentamente i moduli PAM e le configurazioni SSH è cruciale, così come l’educazione del personale riguardo alle migliori pratiche di sicurezza informatica. La comunità IT deve rimanere allerta e investire in strumenti di rilevamento delle minacce per proteggere i dati sensibili e prevenire possibili compromissioni.