Noul backdoor Linux PamDOORa folosește module PAM pentru a sustrage date de autentificare SSH

Specialiștii din domeniul securității cibernetice au dezvăluit detalii despre un nou backdoor pentru Linux, numit PamDOORa. Acesta este conceput ca un set de instrumente de post-exploatare bazat pe Pluggable Authentication Module (PAM), care permite accesul SSH persistent prin intermediul unei parole speciale și al unei combinații specifice de porturi TCP.

De asemenea, este capabil să colecteze datele de autentificare ale tuturor utilizatorilor legitimi care se autentifică prin sistemul compromis.

PamDOORa este al doilea backdoor pentru Linux, după Plague, descoperit în ultimul an care vizează stiva PAM. PAM este un framework de securitate din sistemele de operare Unix/Linux care le oferă administratorilor de sistem posibilitatea de a integra mai multe mecanisme de autentificare sau de a le actualiza (de exemplu, trecerea de la parole la date biometrice) într-un sistem existent, prin utilizarea unor module conectabile, fără a fi necesară rescrierea aplicațiilor existente.

Deoarece modulele PAM rulează de obicei cu drepturi de administrator, un modul compromis, configurat incorect sau rău intenționat poate genera riscuri semnificative de securitate și poate deschide calea către sustragerea datelor de autentificare și accesul neautorizat.

Specialiștii au explicat, de asemenea, cum se poate manipula configurația PAM pentru autentificarea SSH în scopul executării unui script prin intermediul pam_exec, permițând astfel unui atacator să obțină un shell cu privilegii pe un host și să-și asigure o prezență ascunsă pe sistem.

Conform celor mai recente constatări, PamDOORa, pe lângă faptul că permite sustragerea datelor de autentificare, include funcționalități anti-forensic menite să modifice în mod sistematic jurnalele de autentificare pentru a șterge urmele activității rău intenționate.

Deși nu există dovezi că acest malware a fost utilizat în atacuri reale, este probabil ca lanțurile de infectare care îl distribuie să implice obținerea prealabilă de către atacator a accesului de root la host prin alte mijloace, precum și implementarea modulului PAM PamDOORa pentru a captura datele de autentificare și a stabili un acces persistent prin SSH.

Sursă: https://thehackernews.com/2026/05/new-linux-pamdoora-backdoor-uses-pam.html

Noul backdoor Linux PamDOORa folosește module PAM pentru a sustrage date de autentificare SSH

Locked Shields 2026 – exercițiu NATO de apărare cibernetică

Festivitatea de premiere a participanților la exercițiul CyberMAN25

Exercițiul CyberMAN25

Locked Shields 2025 – exercițiu NATO de apărare cibernetică

Noile vulnerabilități din cPanel și WHM permit executarea de cod și atacuri de tip DoS

Noul backdoor Linux PamDOORa folosește module PAM pentru a sustrage date de autentificare SSH

Malware-ul TCLBANKER vizează utilizatorii prin intermediul unor module Worm care se propagă automat prin WhatsApp și Outlook

Multiple vulnerabilități critice au fost remediate în Next.js și React Server Components

Noile vulnerabilități din cPanel și WHM permit executarea de cod și atacuri de tip DoS

Noul backdoor Linux PamDOORa folosește module PAM pentru a sustrage date de autentificare SSH

Malware-ul TCLBANKER vizează utilizatorii prin intermediul unor module Worm care se propagă automat prin WhatsApp și Outlook

Multiple vulnerabilități critice au fost remediate în Next.js și React Server Components

Ai mai putea citi