IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    1 548
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 1 548
    Points : 125 167
    Points
    125 167
    Par défaut Les États-Unis exhortent à sécuriser les noyaux Linux contre une nouvelle menace de malware russe
    Les États-Unis exhortent les utilisateurs de Linux à sécuriser les noyaux contre une nouvelle menace de malware russe,
    Qui crée une porte dérobée et permet l'exécution de commandes en tant que root

    Les utilisateurs de Linux ne doivent pas croire qu'ils sont à l'abri des ambitions et de la portée du groupe de piratage russe Fancy Bear, qui utilise un ensemble de logiciels malveillants récemment divulgués pour établir une connexion de commande et de contrôle avec les systèmes Linux infectés. L'Agence de sécurité nationale américaine (NSA) et le Bureau fédéral d'investigation (FBI) ont publié ce mois un nouvel avis de cybersécurité concernant un nouveau malware Linux développé et déployé lors d'attaques réelles par les pirates russes.

    Fancy Bear, également connu sous le nom de Strontium ou APT 28, est le célèbre groupe de pirates informatiques suspecté d'être parrainé par le gouvernement russe. Selon l’avis, le nouveau malware appelé "Drovorub" crée essentiellement une porte dérobée qui permet le téléchargement de fichiers, l'exécution de commandes arbitraires en tant que root et le transfert du trafic réseau vers d'autres hôtes du réseau, ont averti le FBI et la NSA. L'avis décrit le malware comme un « implant couplé à un module de noyau rootkit », enrichi de composants et de modules supplémentaires.

    Nom : m01.jpg
Affichages : 20041
Taille : 28,1 Ko

    Les deux services ont présenté Drovorub comme « une menace pour les clients des systèmes de sécurité nationale, du ministère de la Défense et de la base industrielle de la défense qui utilisent les systèmes Linux ». Les attaquants des États nations développent constamment de nouvelles armes furtives conçues pour compromettre les systèmes d'exploitation Linux, qui font tourner des serveurs, des superordinateurs et une multitude de dispositifs IdO que l'on trouve dans des domiciles et au bureau. Pourtant, il est parfois facile pour les utilisateurs de Linux de baisser leur garde, en pensant que Windows reste la cible principale des cybercriminels.

    « Maintenir un système à jour et entièrement protégé n'est pas spécifique aux environnements Windows », a déclaré l'équipe ATR Operational Intelligence de McAfee dans un article de blog de l'entreprise. « Les systèmes basés sur Linux sont très répandus dans de nombreuses entreprises, et fonctionnent souvent en dehors de la visibilité directe des administrateurs système. En partie à cause de cette faible visibilité, les acteurs de la menace considèrent la pile Linux comme une cachette idéale et un point de lancement pour un mouvement latéral. Il est donc prioritaire de maintenir ces environnements à jour et sécurisés ».

    C’est donc pour éviter les mauvaises surprises que le FBI et la NSA ont conseillé aux utilisateurs de Linux de se mettre à jour vers le noyau Linux 3.7 ou une version ultérieure « afin de tirer pleinement parti de l'application de la signature du noyau », et d'activer également l'UEFI Secure Boot et de « configurer les systèmes pour ne charger que les modules avec une signature numérique valide, ce qui rend plus difficile pour un acteur d'introduire un module de noyau malveillant dans le système », lit-on.

    Rosa Smothers, vice-présidente senior des cyber-opérations chez KnowBe4, a dit dans une déclaration : « Si vous gardez vos distributions Linux à jour, alors vous devriez être épargné de tout problème ». « Ma principale préoccupation concerne tous les systèmes embarqués utilisant ces anciens noyaux ; je soupçonne qu'il y en a beaucoup qui restent introuvables, donc vulnérables », a-t-elle ajouté. Les routeurs ou la technologie de la maison intelligente sont des exemples de ces systèmes intégrés.

    « Le point le plus important du rapport est que Fancy Bear a encore des tours dans sa manche avec plus d'outils et de capacités qui sont encore en cours de découverte », a déclaré Adam Meyers, vice-président senior du renseignement chez CrowdStrike. « Un autre élément clé est que de nombreuses organisations n'ont pas investi dans des outils de sécurité similaires pour Linux comme elles l'ont fait pour d'autres plateformes d'utilisateurs. Elles doivent réaliser que Linux est tout aussi vulnérable aux logiciels malveillants que n'importe quelle autre plateforme ».

    Fancy Bear s’est signalé du côté de l’Europe l’année dernière, selon Microsoft, qui affirmait avoir détecté différentes attaques qui visaient des institutions démocratiques européennes. Selon Microsoft, les attaques ne se sont pas limitées à des campagnes électorales particulières, mais qu’elles comportaient un élément politique bien défini. Selon la société, « elles s'étendent souvent aux groupes de réflexion et aux organisations à but non lucratif travaillant sur des sujets liés à la démocratie, à l'intégrité électorale et aux politiques publiques et qui sont souvent en contact avec des responsables gouvernementaux ».

    Que sait-on sur le nouveau malware Drovorub ?

    Selon les informations publiées par le FBI et la NSA, le logiciel malveillant est composé de quatre composants principaux qui exécutent des modules spécifiques aux tâches, et la communication entre les composants se fait via un format de message basé sur JSON, sur le protocole WebSocket qui fonctionne via une connexion TCP.

    Le composant serveur Drovorub réside dans l'infrastructure de l'attaquant et permet le concept de communication C2 (commande et contrôle), en exploitant une base de données MySQL pour stocker les données nécessaires à l'enregistrement, l'authentification et l'attribution des tâches. Le module Drovorub-client, quant à lui, se trouve sur les terminaux infectés et reçoit les commandes du module serveur. Il permet le transfert de fichiers, la redirection de port et des capacités de shell à distance, et est fourni avec le module Drovorub-kernel, qui offre « une fonctionnalité de furtivité basée sur le rootkit pour cacher le client et le module du noyau », explique l'avis.

    Nom : m02.png
Affichages : 4076
Taille : 103,2 Ko

    Drovorub comporte un quatrième module, Drovorub-agent, qui agit de manière similaire au Drovorub-client, et est « susceptible d'être installé sur des hôtes accessibles par Internet ou sur une infrastructure contrôlée par l'acteur de la menace», indique l'avis. Ce module peut lui aussi recevoir des commandes du serveur, mais il dispose d'une capacité de shell à distance ou d'un rootkit de module de noyau. Il faut noter que les modules agent et client ne peuvent pas communiquer directement, mais ils peuvent interagir indirectement via le module serveur.

    Se référant aux techniques d'évasion avancées de toolkit, le FBI et la NSA notent que le module Drovorub-kernel « pose un défi à la détection à grande échelle sur l'hôte, car il cache des artefacts Drovorub [par exemple des fichiers, des répertoires et des processus] des outils couramment utilisés pour la réponse en direct à l'échelle ».

    Le défi est d’autant important que « L'un des plus grands problèmes de la communauté Linux est que les gens ont tendance à croire au battage médiatique selon lequel Linux définitivement sûr. Cela tend à faire que les gens ne mettent pas à jour Linux aussi souvent qu'ils le devraient, ou n'achèvent pas l'installation des mises à jour du noyau quand ils le devraient », a déclaré Robert Meyers, architecte des solutions chez One Identity. Mais « Il n'y a pas de magie à protéger un système d'exploitation. Quelqu'un va essayer de les pirater tous et chacun d'entre eux. Chaque fois que des mises à jour sont disponibles, elles doivent être complétées, en utilisant une méthodologie informatique standard ».

    En juillet, des chercheurs d'Intezer ont révélé leur découverte d'une attaque de conteneurs Docker qui distribue une porte dérobée malveillante « totalement indétectable » pour les environnements Cloud basés sur Linux. Comme les organisations déplacent de plus en plus leurs infrastructures commerciales hors de leurs locaux, les cybercriminels sont de plus en plus motivés pour cibler les environnements Cloud Computing basés sur Linux.

    « Le nouveau malware baptisé "Doki" n'a été détecté par aucun des 60 moteurs de détection de malware de VirusTotal depuis sa première analyse le 14 janvier 2020 », ont écrit les chercheurs. « Toute personne ayant un accès public à l'API de Docker court un risque élevé d'être piratée en quelques heures seulement », ont-ils ajouté.

    Pour lutter contre le malware Drovorub, le FBI et la NSA suggèrent des mesures telles que des systèmes de détection des intrusions sur le réseau, des sondages, l'utilisation de produits de sécurité, la journalisation, la réponse en direct, l'analyse de la mémoire et l'analyse de l'image des disques durs. McAfee a spécifiquement suggéré dans son billet de blog de scanner les rootkits afin de découvrir les portes dérobées et les éventuels exploits locaux, de ne charger que les modules connus ou de désactiver entièrement les modules, d'utiliser le verrouillage du noyau Linux, d’autoriser l'amélioration de la sécurité de SELinux et plus encore.

    Sources : Communiqué de presse, Avis de cybersécurité

    Et vous ?

    Que pensez-vous du nouveau malware ?
    Pensez-vous que certaines organisations n’auraient pas mis à jour leur système Linux depuis 2013 (l’avis demande de mettre à jour à partir du noyau Linux 3.7) ?
    Que pensez-vous des recommandations de l’avis de cybersécurité ?

    Voir aussi :

    La NSA alerte sur une vague de cyberattaques contre les serveurs Exim, par le groupe russe Sandworm
    Microsoft affirme avoir détecté des attaques informatiques visant des institutions démocratiques européennes, lancées par des hackers en Russie
    Microsoft a remporté un procès contre Fancy Bear, le groupe de pirates russes, est à jamais interdit d'attaquer les clients de Microsoft à nouveau
    Le manque de compétences en cybersécurité affecte 70 % des organisations, car elles n'ont pas une vision stratégique de la profession, selon un rapport de ESG-ISSA
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éclairé Avatar de jvallois
    Homme Profil pro
    Enseignant
    Inscrit en
    février 2013
    Messages
    161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 54
    Localisation : France, Aisne (Picardie)

    Informations professionnelles :
    Activité : Enseignant
    Secteur : Enseignement

    Informations forums :
    Inscription : février 2013
    Messages : 161
    Points : 848
    Points
    848
    Par défaut
    le FBI et la NSA ont conseillé aux utilisateurs de Linux de se mettre à jour vers le noyau Linux 3.7 ou une version ultérieure
    Il me semble que les distributions actuelles en sont au minimum à la version 4 voire 5 du noyau, non ?
    Ça ressemble encore à une tentative d’effrayer les gens pour préférer Windows à Linux, me semble-t-il.

  3. #3
    Membre éprouvé

    Homme Profil pro
    Retraite
    Inscrit en
    octobre 2005
    Messages
    446
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 71
    Localisation : France, Aude (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Retraite
    Secteur : Industrie

    Informations forums :
    Inscription : octobre 2005
    Messages : 446
    Points : 1 166
    Points
    1 166
    Billets dans le blog
    1
    Par défaut
    Citation Envoyé par jvallois Voir le message
    Il me semble que les distributions actuelles en sont au minimum à la version 4 voire 5 du noyau, non ?
    Ça ressemble encore à une tentative d’effrayer les gens pour préférer Windows à Linux, me semble-t-il.

    exacte Linux 5.8.1-3 le dernier

    et en lts Linux 5.4.58-1 was released on 24 November 2019.

  4. #4
    Membre actif
    Profil pro
    Inscrit en
    mars 2012
    Messages
    76
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2012
    Messages : 76
    Points : 265
    Points
    265
    Par défaut
    Il serait également intéressant que la NSA et le FBI expliquent les Black door qu'ils utilisent pour encore plus de sécurité sur Linux....

  5. #5
    Membre du Club
    Homme Profil pro
    Inscrit en
    janvier 2013
    Messages
    13
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations forums :
    Inscription : janvier 2013
    Messages : 13
    Points : 46
    Points
    46
    Par défaut
    Bon, revoyons le risque: un noyau 3.7 qui est totalement dépassé dans les distributions actuelles (oui, je ne parle pas seulement des distributions récentes), l'article parle de ce noyau sur des machines type IoT qui sont des machines avec très peu de ressources et rarement un accès internet, souvent derrière des pare-feu à jour. Bref, le risque me semble bien faible pour le péquin moyen, pour les serveurs importants. Reste les machines que l'on oublie, qui ne sont mises à jour depuis très longtemps et qui ne servent peut-être plus à grand chose puisqu'elles sont oubliées dans leur coin. Et des instances Docker, ouverte sur l'internet avec des noyaux 3.7 ça ne doit pas courir les rues non plus.
    C'est comme si l'on alertait sur une faille de sécurité de Windows Me servant de serveur web: c'est réel et factuel mais si peu probable que l'alerte en perd son catastrophisme. Bref, j'ai un peu de mal à penser que les USA "exhortent" à "sécuriser les noyaux Linux" alors que la vulnérabilité n'est plus d'actualité dans les noyaux depuis très longtemps avant que la faille soit découverte semble t'il.

  6. #6
    Membre expérimenté
    Homme Profil pro
    Informaticien
    Inscrit en
    avril 2011
    Messages
    348
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Informaticien

    Informations forums :
    Inscription : avril 2011
    Messages : 348
    Points : 1 421
    Points
    1 421
    Par défaut
    C'est un vieux noyau quand même mais bon, dans certains secteurs (je pense à l'industrie), un certain nombre de systèmes de prod ont une durée de vie très longue et ne peuvent tout simplement pas être mis à jour. Si, dans ce cas là, pour plus de commodité, quelqu'un demande à ouvrir un accès depuis l'extérieur vers un tel système, et bien c'est perdu.

    Dans un monde idéal, on peut penser que tout est bien cartographié, mis à jour et protégé. Dans la pratique, rien n'est jamais fait parfaitement. Il est par exemple très simple de lancer un service dans docker et de l'oublier rapidement tant qu'il fait ce que l'on attend de lui.

    Après, je suis d'accord, le titre est un peu excessif et comme souvent, oppose États-Unis et Russie sur fond de cyberguerre. Sans aller jusque là, il s'agit juste de prendre en compte le message de bon sens : garder ses machines et ses services à jour

  7. #7
    Membre émérite
    Profil pro
    Inscrit en
    juin 2009
    Messages
    692
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : juin 2009
    Messages : 692
    Points : 2 281
    Points
    2 281
    Par défaut
    Je connais beaucoup de système qui sont passé a Java 8 y'a pas longtemps.

    Alors oui c'est pas bien, mais en attendant je pense que vos analyses de risques méritent quelques révisions face à la (triste) réalité plutôt qu'a la théorie.

  8. #8
    Membre du Club
    Profil pro
    Inscrit en
    août 2006
    Messages
    47
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : août 2006
    Messages : 47
    Points : 51
    Points
    51
    Par défaut pas compris ?
    hmm l'article est tres flou sur la methode de contamination...
    soit le virus est à l' extérieur et essaye de rentrer dans un server via TCP qui poutre le kernel... et la effectivement c grave.
    soit le virus est executé en locale et cherche une elevation de privilège et la c'est moyen... (gros part de responsabilité de l'admin)...

    quoi qu'il en soit la base minimum du bon admin : les mises à jour reguliere !

    pour moi ce genre qu'anonce ne servent qu'a 2 choses :
    - linux c'est aussi pourri que windows (ahahah)
    - bouououh les russes sont méchant...

    1 pierre 2 coups...

    je me demande si les Rasperi ne tourne pas sur 3.x... voir certain de vieux android...

    concernant la CIA/FBI/illuminati qui aurait des portes dérobé dans le kernel linux j'y crois moyen...
    des zero-days, exploit etc oui... des portes derobé gnééé... nan...
    en plus pour quoi faire ? Nos grosses sociétés stratégique foutent en clair leurs data sur les clouds cromou...
    (sous loué a amazon qui sous loue aux cloud china...)

    un truc qui m'etonne. dont j'attends jamais parlé.. mais qui apparait TRES clairement dans mes logs :
    est-ce normal que je me retrouve avec une liste conséquente d'adresse IP banni (fail2ban) de type 10.X.X.X ???

    Syl

  9. #9
    Membre expérimenté
    Homme Profil pro
    Informaticien
    Inscrit en
    avril 2011
    Messages
    348
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : Informaticien

    Informations forums :
    Inscription : avril 2011
    Messages : 348
    Points : 1 421
    Points
    1 421
    Par défaut
    Tous les systèmes sont faillibles, ceux basés sur Linux comme les autres. Il n'y a rien de pire que le faux sentiment de sécurité que certains peuvent ressentir en utilisant un système basé sur Linux.

    Sinon, un Raspberry tourne avec le noyau qu'on lui donne. Si c'est une Raspbian d'installée et à jour, c'est le noyau 4.19 qui est présent (c'est la distribution proposée par défaut). Avec Raspbian, et sauf erreur de ma part, il faut remonter à 2013 pour trouver un noyau vulnérable ici (https://fr.wikipedia.org/wiki/Raspberry_Pi_OS) et ça ne concerne que les Raspberry Pi 1/1+.

    Pour ton problème de log fail2ban, tu devrais poser la question dans la section appropriée du forum (Linux -> Sécurité) avec un peu plus d'indications sur tes logs et le contexte d'exécution de ta machine.

  10. #10
    Rédacteur

    Avatar de SQLpro
    Homme Profil pro
    Expert bases de données / SQL / MS SQL Server / Postgresql
    Inscrit en
    mai 2002
    Messages
    21 301
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Expert bases de données / SQL / MS SQL Server / Postgresql
    Secteur : Conseil

    Informations forums :
    Inscription : mai 2002
    Messages : 21 301
    Points : 51 006
    Points
    51 006
    Billets dans le blog
    1
    Par défaut
    Extrait :
    L'un des plus grands problèmes de la communauté Linux est que les gens ont tendance à croire au battage médiatique selon lequel Linux définitivement sûr
    Hélas combien de fois ai-je entendu ce discours....
    Windows c'est mal, Linux c'est parfait !

    A +
    Frédéric Brouard - SQLpro - ARCHITECTE DE DONNÉES - expert SGBDR et langage SQL
    Le site sur les SGBD relationnels et le langage SQL: http://sqlpro.developpez.com/
    Blog SQL, SQL Server, SGBDR : http://blog.developpez.com/sqlpro
    Expert Microsoft SQL Server - M.V.P. (Most valuable Professional) MS Corp.
    Entreprise SQL SPOT : modélisation, conseils, audit, optimisation, formation...
    * * * * * Expertise SQL Server : http://mssqlserver.fr/ * * * * *

Discussions similaires

  1. Réponses: 5
    Dernier message: 24/07/2020, 10h17
  2. Les États-Unis exhortent l'Australie à ne pas faire confiance à Huawei
    Par Christian Olivier dans le forum Actualités
    Réponses: 9
    Dernier message: 01/03/2018, 09h25
  3. Réponses: 6
    Dernier message: 06/08/2015, 16h22
  4. Le noyaux Linux 2.6.30 disponible, les améliorations
    Par Pierre Louis Chevalier dans le forum Administration système
    Réponses: 4
    Dernier message: 10/07/2011, 10h31
  5. Les pirates ont trouvé une nouvelle manière de contourner la sécurité
    Par Jean-Philippe Dubé dans le forum Actualités
    Réponses: 7
    Dernier message: 01/09/2009, 14h06

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo