pemoyr
New member
Серверы с ОС Linux, на которых установлено уязвимое ПО Webmin, оказываются целями кибератак и становятся частью нового P2P ботнета, названного Roboto.
Webmin — это программный комплекс, позволяющий администрировать ОС через веб-интерфейс, чаще всего, давая возможность работать без командной строки и не запоминать команды и их параметры.
Специалисты из фирмы 360 Netlabза ботнетом в течение трёх месяцев и им удалось выявить модули бота и загрузчика. Специалисты также предполагают, что у Roboto существует модуль управления P2P-сети и сканер уязвимостей, но на данный момент у них не получилось найти эти компоненты. Осмотр найденных компонентов показал 7 функций у Roboto, например установка обратной оболочки, самоудаление, исполнения системных команд, сбора и отправки данных, активация зашифрованных полезных нагрузок с удалённых URL-адресов и проведение DDoS-атак.
Они также заметили, что модуль DDoS имеет 4 вида способов DDoS-атак: ICMP Flood, HTTP Flood, TCP Flood и UDP Flood. Выбранный вид зависит от системных разрешений, которые модуль может получить на взломанных Linux-серверах.
Чтобы проникнуть на сервер, ботнет Roboto использует уязвимость удалённого исполнения кода в программном комплексе Webmin (CVE-2019-15107), устанавливая свой загрузчик на Linux-серверах.
На странице проекта в GitHub написано, что сумма серверов с Webmin равна 1 миллиону. При этом, результаты поиска через Shodan показали примерно 232 тысяч серверов, подключённых к интернету, а BinaryEdge — свыше 470 тысяч (из которых, правда, не все Webmin-серверы работают на ОС Linux или содержат уязвимую версию программы).
Хотя у Roboto присутствует функция DDoS, главной задачей ботнета не являются DDoS-атаки, так как за 3 месяца слежки не было замечено таких атак.
Специалисты рассказывают: «Roboto применяет различные алгоритмы шифрования для сохранения целостности и защиты своих компонентов и P2P-сети, создаёт соответствующий самозапускающийся скрипт Linux и маскирует имена файлов и процессов, чтобы оставаться незамеченным».
Чтобы обезопасить себя от данной проблемы, нужно обновить Webmin до версии 1.930 или выключить возможность «изменить пароль пользователя».
Webmin — это программный комплекс, позволяющий администрировать ОС через веб-интерфейс, чаще всего, давая возможность работать без командной строки и не запоминать команды и их параметры.
Специалисты из фирмы 360 Netlabза ботнетом в течение трёх месяцев и им удалось выявить модули бота и загрузчика. Специалисты также предполагают, что у Roboto существует модуль управления P2P-сети и сканер уязвимостей, но на данный момент у них не получилось найти эти компоненты. Осмотр найденных компонентов показал 7 функций у Roboto, например установка обратной оболочки, самоудаление, исполнения системных команд, сбора и отправки данных, активация зашифрованных полезных нагрузок с удалённых URL-адресов и проведение DDoS-атак.
Они также заметили, что модуль DDoS имеет 4 вида способов DDoS-атак: ICMP Flood, HTTP Flood, TCP Flood и UDP Flood. Выбранный вид зависит от системных разрешений, которые модуль может получить на взломанных Linux-серверах.
Чтобы проникнуть на сервер, ботнет Roboto использует уязвимость удалённого исполнения кода в программном комплексе Webmin (CVE-2019-15107), устанавливая свой загрузчик на Linux-серверах.
На странице проекта в GitHub написано, что сумма серверов с Webmin равна 1 миллиону. При этом, результаты поиска через Shodan показали примерно 232 тысяч серверов, подключённых к интернету, а BinaryEdge — свыше 470 тысяч (из которых, правда, не все Webmin-серверы работают на ОС Linux или содержат уязвимую версию программы).
Хотя у Roboto присутствует функция DDoS, главной задачей ботнета не являются DDoS-атаки, так как за 3 месяца слежки не было замечено таких атак.
Специалисты рассказывают: «Roboto применяет различные алгоритмы шифрования для сохранения целостности и защиты своих компонентов и P2P-сети, создаёт соответствующий самозапускающийся скрипт Linux и маскирует имена файлов и процессов, чтобы оставаться незамеченным».
Чтобы обезопасить себя от данной проблемы, нужно обновить Webmin до версии 1.930 или выключить возможность «изменить пароль пользователя».