B
今週中
LinuxのPAM(Pluggable Authentication Modules)フレームワークを悪用する新型バックドア「PamDOORa」
📌 一言でいうと
LinuxのPAM(Pluggable Authentication Modules)フレームワークを悪用する新型バックドア「PamDOORa」が公開されました。このツールはSSH認証プロセスに介入してユーザーの認証情報を窃取し、特定のマジックパスワードを用いて永続的なリモートアクセスを確立します。また、認証ログを改ざんして自身の活動痕跡を消去するアンチフォレンジック機能も備えています。
🔍該当判定
- 自社でLinuxサーバー(x86_64アーキテクチャ)を運用している
- 外部からSSH(リモートログイン)を利用してサーバー管理を行っている
- サーバーの認証管理にPAM(Pluggable Authentication Modules)を利用している
上記いずれにも該当しない → 静観でOK
✅該当時の対応
PAM設定ファイルの整合性を定期的に確認し、不審なモジュール(pam_exec等)の追加がないか監視してください。また、root権限の奪取を防ぐための多層防御を強化し、認証ログを外部の集中管理サーバーに転送して改ざんを検知できるようにしてください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux PAMバックドア「PamDOORa」への警戒について
お疲れさまです。Linuxサーバーにおける新型バックドアに関する情報共有です。
■ 概要
PAM(Pluggable Authentication Modules)を悪用したバックドア「PamDOORa」が確認されました。攻撃者がroot権限を事前に取得した後に導入され、SSH認証情報の窃取および永続的なバックドアアクセスを確立します。ログ改ざん機能を持つため、検知が困難な特徴があります。
■ 影響範囲
- Linux OS (x86_64アーキテクチャ)
- PAMフレームワークを利用する認証設定
■ 対応手順
1. /etc/pam.d/ 配下の設定ファイルに、意図しないモジュールや不審なスクリプト(pam_exec等)が追加されていないか確認してください。
2. SSH認証ログ(auth.log等)を外部のSIEMやログサーバーに転送し、ローカルでのログ改ざんを検知できる体制を構築してください。
3. root権限の管理を厳格化し、不審なプロセスの動作を監視してください。
■ 参考情報
- Flare.io Technical Report
対応優先度: 中
対応期限: 随時確認
お疲れさまです。Linuxサーバーにおける新型バックドアに関する情報共有です。
■ 概要
PAM(Pluggable Authentication Modules)を悪用したバックドア「PamDOORa」が確認されました。攻撃者がroot権限を事前に取得した後に導入され、SSH認証情報の窃取および永続的なバックドアアクセスを確立します。ログ改ざん機能を持つため、検知が困難な特徴があります。
■ 影響範囲
- Linux OS (x86_64アーキテクチャ)
- PAMフレームワークを利用する認証設定
■ 対応手順
1. /etc/pam.d/ 配下の設定ファイルに、意図しないモジュールや不審なスクリプト(pam_exec等)が追加されていないか確認してください。
2. SSH認証ログ(auth.log等)を外部のSIEMやログサーバーに転送し、ローカルでのログ改ざんを検知できる体制を構築してください。
3. root権限の管理を厳格化し、不審なプロセスの動作を監視してください。
■ 参考情報
- Flare.io Technical Report
対応優先度: 中
対応期限: 随時確認
Subject: [Security Alert] New Linux PAM Backdoor 'PamDOORa'
Dear IT Security Team,
We are sharing information regarding a new Linux backdoor called 'PamDOORa' that targets the PAM (Pluggable Authentication Modules) framework.
■ Overview
PamDOORa is a post-exploitation tool that integrates into the PAM framework to steal SSH credentials and establish persistent remote access using a 'magic password'. It features anti-forensic capabilities to tamper with authentication logs, making detection difficult.
■ Scope
- Linux systems (x86_64 architecture)
- Systems utilizing PAM for authentication
■ Recommended Actions
1. Audit PAM configuration files in /etc/pam.d/ for unauthorized modules or suspicious scripts (e.g., pam_exec).
2. Ensure authentication logs are forwarded to a centralized logging server or SIEM to prevent and detect local log tampering.
3. Strengthen root access controls and monitor for unusual privileged processes.
■ Reference
- Flare.io Technical Report
Priority: Medium
Deadline: Ongoing review
Dear IT Security Team,
We are sharing information regarding a new Linux backdoor called 'PamDOORa' that targets the PAM (Pluggable Authentication Modules) framework.
■ Overview
PamDOORa is a post-exploitation tool that integrates into the PAM framework to steal SSH credentials and establish persistent remote access using a 'magic password'. It features anti-forensic capabilities to tamper with authentication logs, making detection difficult.
■ Scope
- Linux systems (x86_64 architecture)
- Systems utilizing PAM for authentication
■ Recommended Actions
1. Audit PAM configuration files in /etc/pam.d/ for unauthorized modules or suspicious scripts (e.g., pam_exec).
2. Ensure authentication logs are forwarded to a centralized logging server or SIEM to prevent and detect local log tampering.
3. Strengthen root access controls and monitor for unusual privileged processes.
■ Reference
- Flare.io Technical Report
Priority: Medium
Deadline: Ongoing review