تم اكتشاف باب خلفي جديد لنظام لينكس، أُطلق عليه اسم PamDOORa، ويشكل تهديدًا حقيقيًا للأنظمة التي تحتوي على خدمة SSH مكشوفة. يعمل هذا البرنامج الضار من خلال وحدات PAM، نظام المصادقة الأساسي، حيث يعترض كلمات المرور عند تسجيل دخول المستخدمين. يتم إرسال بيانات الاعتماد التي تم التقاطها إلى خادم تحكم وتحكم (C&C) يسيطر عليه المهاجمون.
كيف يتكامل PamDOORa مع عملية المصادقة 🛡️
يتسلل PamDOORa إلى سلسلة وحدات PAM، وتحديدًا إلى مجموعة مصادقة SSH. عند تحميله كوحدة شرعية، يلتقط اسم المستخدم وكلمة المرور كنص عادي أثناء التحقق من الدخول. يتم تخزين البيانات في ملف مؤقت ويتم تسريبها عبر طلبات HTTP إلى نطاق بعيد. يتم تحقيق استمراريته عن طريق تعديل ملفات تكوين PAM، مثل common-auth، دون إثارة شكوك فورية في عمليات التدقيق الروتينية.
الباب الخلفي الذي تسلل إلى حفلة كلمات المرور 🎭
يُظهر PamDOORa أنه حتى لينكس، نظام التشغيل لمن يتباهون بالأمان، يمكن أن يكون له ضيفه غير المرغوب فيه في عشاء المصادقة. بينما يعتقد المستخدمون أن SSH الخاص بهم هو حصن منيع، يعمل هذا الباب الخلفي كنادل يدون كلمات المرور على منديل ويسلمها لصاحب الحانة. صحيح، على الأقل كان لدى المهاجمين اللباقة لاستخدام PAM، الباب الخلفي الرسمي للنظام، دون تلويث كود مصدر النواة.