近日,工业和信息化部网络安全威胁和漏洞信息共享平台(CSTIS)监测发现,Plague后门可劫持Linux系统root权限,窃取核心数据并永久潜伏,严重威胁信息基础设施安全。
Plague是一种劫持Linux系统PAM(用于管理Linux和类UNIX系统中用户认证的共享库)认证流程的后门程序。在攻击过程中,攻击者利用目标系统未修复的高危漏洞或污染软件供应链(篡改软件仓库或开源组件),通过横向移动(SSH凭证爆破)及社会工程来获取root权限,进而篡改PAM配置,使系统在认证流程中被动加载该库到内存。植入成功后,Plague通过清除环境变量(SSH_CLIENT和SSH_CONNECTION)及重定向命令历史文件(HISTFILE至/dev/null)消除痕迹,同时篡改系统配置实现持久化潜伏,最终通过内网横向渗透或植入隐藏特权账户实现深度控制。
建议相关单位及用户立即组织排查,及时更新防病毒软件。定期实施全盘查杀,加强钓鱼邮件识别培训,启用PAM模块完整性检查(如签名验证),关闭非必要SSH服务以降低攻击面,隔离异常网络流量并启用日志审计机制。
声明:本文来自网络安全威胁和漏洞信息共享平台,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
