🔥 この記事の詳細
2026-05-08 更新
B
今週中

LinuxのPAM(Pluggable Authentication Module)を悪用する新しいバックドア「PamDOORa」

脆弱性🌐 英語ソース📰 2記事🌐 1 country
🇺🇸 US (2)
📅 2026-05-08📰 hackernews
📌 一言でいうと
LinuxのPAM(Pluggable Authentication Module)を悪用する新しいバックドア「PamDOORa」が発見されました。このツールはロシアのサイバー犯罪フォーラムで販売されており、攻撃者に永続的なSSHアクセスを許可し、正当なユーザーの認証情報を窃取します。x86_64アーキテクチャのLinuxシステムを標的としており、認証プロセスに介入することで検知を回避しようとします。
🔍該当判定
  • Linuxサーバー(Ubuntu, CentOS, Debianなど)を自社またはクラウドで運用している
  • 外部からサーバーにログインするために「SSH」を利用している
  • 不特定多数のユーザーがサーバーにログインする環境がある
上記いずれにも該当しない → 静観でOK
該当時の対応
PAMモジュールの整合性チェックを実施し、不審な共有ライブラリ(.soファイル)が追加されていないか確認してください。また、SSHログインの監視を強化し、不審な認証試行や未知のポート通信を検知する体制を構築してください。
📧 メール案を見る (管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【共有】Linux PAMバックドア「PamDOORa」への対応について

お疲れさまです。Linuxシステムにおける新しいバックドア「PamDOORa」に関する情報共有です。

■ 概要
PAM (Pluggable Authentication Module) を悪用し、SSH認証プロセスに介入して認証情報を窃取し、攻撃者に永続的なアクセス権を付与するポストエクスプロイトツールです。ロシアの犯罪フォーラムで販売されており、特定のマジックパスワードを用いて認証をバイパスします。

■ 影響範囲
- x86_64 アーキテクチャの Linux システム
- PAMを利用して認証を行っているサーバー(OpenSSH等)

■ 対応手順
1. /etc/pam.d/ 以下の設定ファイルに不審なモジュールの読み込み設定がないか確認する。
2. PAM関連の共有ライブラリディレクトリに、未知の .so ファイルが配置されていないか整合性チェックを行う。
3. SSHログインログおよびネットワーク通信(不審なTCPポート)の監視を強化する。

■ 参考情報
- Flare.io 技術レポート

対応優先度: 高
対応期限: 速やかに確認を推奨
Subject: [Security Alert] Linux PAM Backdoor 'PamDOORa' Analysis

Dear IT/Security Team,

We are sharing information regarding a new Linux backdoor named 'PamDOORa'.

■ Overview
PamDOORa is a post-exploitation toolkit that leverages the Pluggable Authentication Module (PAM) framework to steal SSH credentials and maintain persistent access. It allows attackers to authenticate via OpenSSH using a 'magic password' and specific TCP port combinations.

■ Scope
- Linux systems (x86_64 architecture)
- Servers utilizing PAM for authentication (e.g., OpenSSH)

■ Mitigation Steps
1. Audit /etc/pam.d/ configuration files for unauthorized module inclusions.
2. Perform integrity checks on PAM shared library directories to identify unknown .so files.
3. Enhance monitoring for anomalous SSH authentication patterns and unauthorized TCP port activity.

■ Reference
- Flare.io Technical Report

Priority: High
Deadline: Immediate review recommended
📰 関連する 1 件の記事
securityweek米国政府が重要脆弱性の修正期限を14日から72時間に短縮することを検討しています
🔗 元の記事を読む
← トップへ戻る🗓 2026-05-08 のまとめ🔍 記事を検索