Descripción de la Tecnica
Pluggable Authentication Modules (PAM) es un sistema modular que permite personalizar y extender las funcionalidades de autenticación para diversos servicios en sistemas operativos. Este mecanismo actúa como una capa intermediaria entre los usuarios, los sistemas y las aplicaciones, gestionando la verificación de credenciales y la gestión de cuentas. Adversarios pueden manipular PAM para acceder a información sensible o permitir acceso no autorizado a cuentas.
El módulo más común es pam_unix.so, que se encarga de leer, establecer y validar datos de autenticación en archivos como /etc/passwd y /etc/shadow. Estos archivos contienen información crítica sobre usuarios y sus contraseñas, lo que hace que PAM sea un objetivo potencial para ataques.
¿Cómo Funciona?
Los atacantes pueden modificar los módulos PAM para alterar el proceso de autenticación. Por ejemplo, pueden injectar código malicioso en un módulo como pam_unix.so, que permite a un adversario acceder a credenciales almacenadas o permitir accesos no autorizados. Esto sucede porque los módulos PAM están diseñados para ser reemplazables y personalizables, lo que puede explotarse para crear vulnerabilidades.
El proceso incluye: 1) Modificar configuraciones de PAM; 2) Cambiar o inyectar código en módulos específicos (como pam_unix.so); 3) Ejecutar operaciones que permitan a un atacante obtener acceso a cuentas o datos sensibles.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos con el objetivo de comprometer sistemas y usuarios. Incluye a amenazantes cibernéticos, grupos cybercriminals y otros entidades que buscan exponer o robar información sensible. Los atacantes pueden aprovechar la flexibilidad de PAM para lograr acceso no autorizado a cuentas o datos críticos.
Detección
La detección implica monitorear cambios anormales en los módulos PAM y en archivos de configuración. Se pueden observar señales como modificaciones inesperadas en /etc/pam.d/, alteraciones en pam_unix.so o comportamientos atípicos en registros de autenticación. Además, se deben revisar los logs de seguridad para identificar accesos no autorizados.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
Para mitigar este riesgo, es crucial mantener actualizado el sistema y los módulos PAM. Se recomienda: 1) Revisar periódicamente las configuraciones de PAM; 2) Limitar el acceso a archivos críticos como /etc/passwd y /etc/shadow; 3) Usar credenciales fuertes y monitorear actividades anómalas. Además, se pueden implementar controles de acceso basados en roles (RBAC) para reducir el riesgo de explotación.