米政府セキュリティ対策期間のUS Computer Emergency Readiness Team(US-CERT)は8月26日(米国時間)、盗んだSSH鍵を使ったLinuxベースのインフラへの攻撃が確認されたと報告、IT管理者に警告を出した。rootのアクセス権限を取得してルートキットをインストールし、さらなるSSH鍵を盗むという。
盗んだSSH鍵を使ってLinuxベースのコンピュータインフラを攻撃するもの。US-CERTによると、ルートカーネル攻撃コードを使ってrootアクセス権を取得後、攻撃者は「Phalanx2」というルートキットをインストールし、これがさらなるSSH鍵を盗むという。Phalanx2は、以前確認されたルートキット「Phalanx」の派生という。盗んだSSH鍵は攻撃者に送られ、これを利用して他のサイトやシステムを攻撃するという。
US-CERTでは管理者に対し、自動確認プロセスの一環として、SSH鍵が利用されているシステムを特定・確認すること、ユーザーにパスワードまたはパスフレーズの付いた鍵の利用を奨励すること、インターネットにつながっているシステムのアクセスパスをレビューし、パッチを適切にあてているかを確認すること、などの確認を呼びかけている。
攻撃が確認された場合は、鍵ベースのSSH認証を無効化することなどの対策をとるよう忠告している。
US Computer Emergency Readiness Team(US-CERT)
http://www.us-cert.gov