En ny bakdörr för Linux, kallad Plague, har identifierats och analyserats av säkerhetsforskare. Det rör sig om ett avancerat intrångsverktyg som integreras i systemets autentiseringsramverk (PAM) och möjliggör dold fjärråtkomst via SSH. Den är särskilt svår att upptäcka, lämnar få spår och fungerar även efter systemuppdateringar.
Bakdörr via PAM-modul
Plague är skriven som en PAM-modul, vilket innebär att den laddas direkt i systemets inloggningsflöde. När en användare försöker autentisera sig – t.ex. via SSH eller terminal – kan modulen fånga upp autentiseringsförfrågan. Om ett av flera inbyggda lösenord används, ges åtkomst utan att systemets vanliga kontroller används.
Exempel på hårdkodade lösenord i Plague:
Mvi4Odm6tld7
IpV57KNK32Ih
changeme
Det innebär att angriparen kan logga in utan att ha något känt konto på systemet.
Designad för ihållande åtkomst
Plague är byggd för att ligga kvar i systemet över tid. Den döljer sin existens genom flera tekniker:
- Miljövariabler relaterade till SSH (t.ex.
SSH_CONNECTION,SSH_CLIENT) raderas. - Kommandologgning blockeras genom att
HISTFILEpekas till/dev/null. - Kod och strängar är obfuskade och krypterade, ofta i flera lager, för att försvåra analys.
- Den utger sig för att vara en legitim modul, ofta under namnet
libselinux.so.8.
Plague försöker också aktivt undvika att bli analyserad. Den kontrollerar t.ex. om den körs i en debugger eller i en säkerhetsanalysmiljö, och anpassar sitt beteende därefter.
Inte upptäckbar med traditionella verktyg
Eftersom Plague integreras i autentiseringskedjan och agerar som ett systembibliotek, upptäcks den sällan av antivirusprogram eller EDR-lösningar. Den beter sig inte som ett fristående program och loggar inga misstänkta aktiviteter.
Det krävs specialiserade metoder för att upptäcka den:
- Manuell granskning av laddade PAM-moduler.
- Filintegritetskontroll (t.ex. med AIDE eller Tripwire).
- YARA-regler som identifierar kända kodmönster.
- Övervakning av ovanliga inloggningar eller förändrade miljövariabler.
Säkerhetsimplikationer
Eftersom Plague påverkar autentiseringen direkt, innebär ett intrång att angriparen har fullständig kontroll över systemet. Det räcker inte att ta bort användarkonton eller byta lösenord – bakdörren ger åtkomst oberoende av dessa mekanismer.
Det är särskilt allvarligt i produktionsmiljöer där PAM används i många tjänster (t.ex. SSH, sudo, login, su). Ett komprometterat system kan vara i angriparens händer utan att någon märker det.
Rekommenderade åtgärder
- Granska PAM-konfigurationer och kontrollera att endast förväntade moduler används.
- Kontrollera alla bibliotek i sökvägar som
/lib/securityoch/etc/pam.d/. - Använd verktyg för filintegritet för att upptäcka förändringar i kritiska systemfiler.
- Undersök ovanliga inloggningar, särskilt med okända lösenord eller kontonamn.
- Implementera YARA-regler och annan hotjakt vid minsta misstanke om kompromettering.
Fördjupad analys från Nextron Systems
Säkerhetsföretaget Nextron Systems har publicerat en teknisk analys av Plague-bakdörren. Rapporten innehåller detaljer om kodstruktur, hashvärden, hårdkodade lösenord och indikatorer på kompromettering (IoC). En länk till deras rapport rekommenderas för vidare analys.
https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux
https://ostechnix.com/plague-pam-based-linux-backdoor
| Typ av hot | PAM-baserad bakdörr (ELF-bibliotek) som krokar in i autentisering och öppnar dold SSH-åtkomst. |
|---|---|
| Mål/plattform | Linuxservrar och arbetsstationer där PAM används (t.ex. sshd, login, sudo). |
| Vad den utnyttjar | Pluggable Authentication Modules (PAM); maskerar sig som legitim modul, ofta under systemlika filnamn. |
| Åtkomstmetod | Accepterar fördefinierade “master-lösenord” och kan släppa in oavsett användarnamn. |
| Hårdkodade lösenord (ex.) | Mvi4Odm6tld7, IpV57KNK32Ih, changeme |
| Persistens | Ligger i autentiseringskedjan ⇒ överlever omstarter och vanliga uppdateringar utan separata startskript. |
| Stealth/antiforensik |
Rensar miljövariabler (SSH_CONNECTION, SSH_CLIENT), pekar HISTFILE till /dev/null, minimerar spår i loggar.
|
| Anti-analys | Obfuskering och krypterade strängar (flera lager); miljökontroller för att undvika debugger/sandbox. |
| Indikatorer (IoC) |
Ovana PAM-moduler/filer; misstänkta namn i /lib/security; annorlunda poster i /etc/pam.d/*; avvikande SSH-inloggningar.
|
| Primära risker | Obehörig SSH-åtkomst (upp till root), lateral rörelse, datastöld, svår incidentforensik p.g.a. brist på loggar. |
| Rekommenderade åtgärder | Inventera PAM-konfiguration/bibliotek; filintegritetskontroll (AIDE/Tripwire); YARA-baserad jakt; central loggning; överväg att stänga lösenordsautentisering i SSH och använda nycklar/FIDO2. |
| Påverkade miljöer | Bastion/jump-hostar, moln-instanser, CI/CD-noder, databasserver- och filserversmiljöer. |
| Riskbedömning | Hög – påverkar kärnkomponenten autentisering och är svår att upptäcka med traditionella verktyg. |
