Серверы с ПО Webmin захватываются ботнетом Roboto
24.11.2019 14:43
Серверы с ОС Linux, на которых установлено уязвимое ПО Webmin, оказываются целями кибератак и становятся частью нового P2P ботнета, названного Roboto.
Webmin — это программный комплекс, позволяющий администрировать ОС через веб-интерфейс, чаще всего, давая возможность работать без командной строки и не запоминать команды и их параметры.
Специалисты из фирмы 360 Netlabза ботнетом в течение трёх месяцев и им удалось выявить модули бота и загрузчика. Специалисты также предполагают, что у Roboto существует модуль управления P2P-сети и сканер уязвимостей, но на данный момент у них не получилось найти эти компоненты. Осмотр найденных компонентов показал 7 функций у Roboto, например установка обратной оболочки, самоудаление, исполнения системных команд, сбора и отправки данных, активация зашифрованных полезных нагрузок с удалённых URL-адресов и проведение DDoS-атак.
Они также заметили, что модуль DDoS имеет 4 вида способов DDoS-атак: ICMP Flood, HTTP Flood, TCP Flood и UDP Flood. Выбранный вид зависит от системных разрешений, которые модуль может получить на взломанных Linux-серверах.
Чтобы проникнуть на сервер, ботнет Roboto использует уязвимость удалённого исполнения кода в программном комплексе Webmin (CVE-2019-15107), устанавливая свой загрузчик на Linux-серверах.
На странице проекта в GitHub написано, что сумма серверов с Webmin равна 1 миллиону. При этом, результаты поиска через Shodan показали примерно 232 тысяч серверов, подключённых к интернету, а BinaryEdge — свыше 470 тысяч (из которых, правда, не все Webmin-серверы работают на ОС Linux или содержат уязвимую версию программы).
Хотя у Roboto присутствует функция DDoS, главной задачей ботнета не являются DDoS-атаки, так как за 3 месяца слежки не было замечено таких атак.
Специалисты рассказывают: «Roboto применяет различные алгоритмы шифрования для сохранения целостности и защиты своих компонентов и P2P-сети, создаёт соответствующий самозапускающийся скрипт Linux и маскирует имена файлов и процессов, чтобы оставаться незамеченным».
Чтобы обезопасить себя от данной проблемы, нужно обновить Webmin до версии 1.930 или выключить возможность «изменить пароль пользователя».
Webmin — это программный комплекс, позволяющий администрировать ОС через веб-интерфейс, чаще всего, давая возможность работать без командной строки и не запоминать команды и их параметры.
Специалисты из фирмы 360 Netlabза ботнетом в течение трёх месяцев и им удалось выявить модули бота и загрузчика. Специалисты также предполагают, что у Roboto существует модуль управления P2P-сети и сканер уязвимостей, но на данный момент у них не получилось найти эти компоненты. Осмотр найденных компонентов показал 7 функций у Roboto, например установка обратной оболочки, самоудаление, исполнения системных команд, сбора и отправки данных, активация зашифрованных полезных нагрузок с удалённых URL-адресов и проведение DDoS-атак.
Они также заметили, что модуль DDoS имеет 4 вида способов DDoS-атак: ICMP Flood, HTTP Flood, TCP Flood и UDP Flood. Выбранный вид зависит от системных разрешений, которые модуль может получить на взломанных Linux-серверах.
Чтобы проникнуть на сервер, ботнет Roboto использует уязвимость удалённого исполнения кода в программном комплексе Webmin (CVE-2019-15107), устанавливая свой загрузчик на Linux-серверах.
На странице проекта в GitHub написано, что сумма серверов с Webmin равна 1 миллиону. При этом, результаты поиска через Shodan показали примерно 232 тысяч серверов, подключённых к интернету, а BinaryEdge — свыше 470 тысяч (из которых, правда, не все Webmin-серверы работают на ОС Linux или содержат уязвимую версию программы).
Хотя у Roboto присутствует функция DDoS, главной задачей ботнета не являются DDoS-атаки, так как за 3 месяца слежки не было замечено таких атак.
Специалисты рассказывают: «Roboto применяет различные алгоритмы шифрования для сохранения целостности и защиты своих компонентов и P2P-сети, создаёт соответствующий самозапускающийся скрипт Linux и маскирует имена файлов и процессов, чтобы оставаться незамеченным».
Чтобы обезопасить себя от данной проблемы, нужно обновить Webmin до версии 1.930 или выключить возможность «изменить пароль пользователя».
Чтобы оставить комментарий, необходимо войти
Онлайн
Последние сообщения
Статистика
Темы:
13 825
Сообщения:
81 176
Пользователи:
10 477