Yeni Linux Arka Kapısı: PamDOORa
Linux tabanlı sistemlerde tespit edilen yeni bir arka kapı olan PamDOORa, siber güvenlik uzmanları tarafından Rehub adlı Rus siber suç forumunda 1,600 Amerikan Doları karşılığında satılmak üzere pazara sunulmuştur. Bu saldırı, sistemlere kalıcı erişim sağlamak amacıyla kullanılan kritik bir güvenlik açığıdır.
Saldırı Nasıl Çalışıyor?
PamDOORa, bir Pluggable Authentication Module (PAM) tabanlı post-exploitation aracı olarak tasarlanmıştır. İşte temel işleyiş şekli:
- Kullanıcıları kimlik doğrulamak için özel bir sihirli şifre ve TCP port kombinasyonu kullanır.
- Tüm meşru kullanıcılardan kimlik bilgilerini toplama yeteneğine sahiptir.
- PAM modülleri genellikle root yetkileri altında çalıştığı için, kötü yapılandırma veya kötü niyetli bir modül büyük güvenlik riskleri oluşturabilir.
Etkilenen Sistemler
PamDOORa, özellikle aşağıdaki sistemleri hedef alır:
- Linux sistemleri (x86_64)
- PAM yığınına bağlı olan Unix/Linux işletim sistemleri
Bu yazılımın, önceden var olan PAM modüllerine kötü niyetli değişiklikler yaparak arka kapılar açabilmesi mümkündür, çünkü PAM, parolaları saklamak yerine düz metin olarak iletmektedir.
Çözüm ve Korunma
PamDOORa’nın etkilerine karşı savunmak için aşağıdaki adımlar uygulanmalıdır:
- Şu anda kullanılan tüm PAM modüllerini gözden geçirin ve kontrol edin.
- PAM yapılandırmalarınızı güncelleyin; pam_exec gibi modüllerin güvenliğini sağlamak için hassasiyeti artırın.
- SSH erişiminizi sıkılaştırmak için port kapatma gibi önlemler alın.
- Güvenlik güncellemelerini düzenli olarak uygulayın ve sistemlerinizi güncel tutun.
Sonuç
PamDOORa gibi tehditler, sistem güvenliğini ciddi şekilde riske atmaktadır. Kullanıcıların, PAM modülleri üzerindeki kontrollerini artırmaları, gereksiz açıkları kapatmaları ve sistem güncellemelerini sürekli olarak takip etmeleri gerekmektedir. Şu anki kullanımlarınızda tehlike oluşturan durumları en kısa sürede ele alarak, güvenlik yapılandırmalarınızı güçlendirin.
