Un nouveau backdoor pour Linux, baptisé PamDOORa, a été détecté et représente une menace réelle pour les systèmes exposés via SSH. Ce malware opère via les modules PAM, le système d'authentification du noyau, en interceptant les mots de passe lorsque les utilisateurs se connectent. Les identifiants capturés sont envoyés à un serveur C&C contrôlé par les attaquants.
Comment PamDOORa s'intègre dans le processus d'authentification 🛡️
PamDOORa s'injecte dans la chaîne des modules PAM, plus précisément dans la pile d'authentification SSH. En se chargeant comme un module légitime, il capture le nom d'utilisateur et le mot de passe en texte clair lors de la vérification de connexion. Les données sont stockées dans un fichier temporaire et exfiltrées via des requêtes HTTP vers un domaine distant. Sa persistance est assurée en modifiant les fichiers de configuration PAM, comme common-auth, sans éveiller de soupçons immédiats lors d'audits de routine.
Le backdoor qui s'est invité à la fête des mots de passe 🎭
PamDOORa démontre que même Linux, le système d'exploitation de ceux qui se vantent de leur sécurité, peut avoir son propre invité indésirable au dîner de l'authentification. Pendant que les utilisateurs croient que leur SSH est une forteresse, ce backdoor agit comme un serveur qui note les mots de passe sur une serviette et les transmet au propriétaire du bar. Certes, au moins les attaquants ont eu la courtoisie d'utiliser PAM, la porte dérobée officielle du système, sans salir le code source du noyau.