تم اكتشاف باب خلفي جديد لنظام لينكس، أُطلق عليه اسم PamDOORa، ويشكل تهديدًا حقيقيًا للأنظمة التي تحتوي على SSH مكشوف. يعمل هذا البرنامج الضار من خلال وحدات PAM، نظام المصادقة الأساسي، حيث يعترض كلمات المرور عند تسجيل دخول المستخدمين. تُرسل بيانات الاعتماد الملتقطة إلى خادم تحكم وسيطرة (C&C) يسيطر عليه المهاجمون.
كيف يتكامل PamDOORa مع عملية المصادقة 🛡️
يتسلل PamDOORa إلى سلسلة وحدات PAM، وتحديدًا في كومة مصادقة SSH. عند تحميله كوحدة شرعية، يلتقط اسم المستخدم وكلمة المرور كنص عادي أثناء التحقق من الدخول. تُخزَّن البيانات في ملف مؤقت وتُسرَّب عبر طلبات HTTP إلى نطاق بعيد. يتم تحقيق استمراريته عن طريق تعديل ملفات تكوين PAM، مثل common-auth، دون إثارة الشكوك الفورية في عمليات التدقيق الروتينية.
الباب الخلفي الذي تسلل إلى حفلة كلمات المرور 🎭
يُظهر PamDOORa أنه حتى لينكس، نظام التشغيل لمن يتباهون بالأمان، يمكن أن يكون له ضيف غير مرغوب فيه في عشاء المصادقة. بينما يعتقد المستخدمون أن SSH الخاص بهم هو حصن منيع، يعمل هذا الباب الخلفي كنادل يدون كلمات المرور على منديل ويسلمها لصاحب الحانة. لكن على الأقل، كان لدى المهاجمين اللباقة لاستخدام PAM، الباب الخلفي الرسمي للنظام، دون تلويث كود مصدر النواة.