Source: Praetorian — Dans une publication de recherche, l’éditeur détaille comment des scanners de vulnérabilités configurés avec des identifiants privilégiés et une authentification par mot de passe deviennent des vecteurs d’attaque pour le vol d’identifiants et le mouvement latéral, surtout dans des environnements Linux.

L’étude met en évidence le risque des scans authentifiés utilisant SSH par mot de passe et des protocoles obsolètes comme NTLMv1. Des attaquants déjà présents sur les hôtes cibles peuvent intercepter les identifiants du scanner via la manipulation du démon SSH, l’instrumentation de processus et l’injection dans la chaîne d’authentification PAM, puis réutiliser ces secrets pour le mouvement latéral.

Techniques décrites (TTPs) 🔧:

  • LD_PRELOAD pour détourner les fonctions pam_authenticate
  • Traçage de processus (strace) pour intercepter les communications IPC liées à SSH
  • Injection de module PAM malveillant pour manipuler la pile d’authentification
  • Redirection de trafic via pare-feu vers des services honeypot
  • Exploitation de NTLMv1 pour le vol de hachages et des attaques de relais d’identifiants

Détection et impact 🛡️:

  • Les EDR Linux testés n’ont pas détecté ces méthodes d’interception dans la majorité des cas, alors que leurs équivalents Windows ont offert une détection sensiblement meilleure.
  • Les identifiants des scanners deviennent des cibles à haute valeur, ouvrant la voie à des élévations de privilèges et à des mouvements latéraux.

Mesures mises en avant par la recherche 🔐:

  • Migrer vers l’authentification par clés pour SSH
  • Désactiver NTLMv1 et autres protocoles hérités
  • Traiter les identifiants de scanners comme des secrets critiques nécessitant une protection renforcée

IOCs et TTPs:

  • IOCs: non fournis.
  • TTPs: hooks LD_PRELOAD/PAM, traçage strace, injection PAM, redirection réseau vers honeypots, vol/relais d’identifiants NTLMv1, manipulation du démon SSH.

Conclusion: publication de recherche visant à démontrer des techniques d’interception d’identifiants de scanners et à souligner les lacunes de détection sur Linux.

🔗 Source originale : https://www.praetorian.com/blog/your-vulnerability-scanner-might-be-your-weakest-link/

🖴 Archive : https://web.archive.org/web/20250922203714/https://www.praetorian.com/blog/your-vulnerability-scanner-might-be-your-weakest-link/