Linux-cерверы Webmin атакованы ботнетом Roboto

Linux-серверы, на которых установлено уязвимое программное обеспечение Webmin, подвергаются кибератакам и попадают под контроль нового однорангового (peer-to-peer, P2P) ботнета, получившего название Roboto.

Исследователи безопасности из компании 360 Netlab отслеживали ботнет три месяца и смогли выявить модули бота и загрузчика. Эксперты также полагают, что у Roboto есть модуль управления P2P-сети и сканер уязвимостей, однако пока им не удалось получить данные компоненты. Анализ вредоносных компонентов выявил семь функций у вредоносного ПО Roboto, включая возможность установки обратной оболочки, самостоятельной деинсталляции, выполнения системных команд, сбора и эксфильтрации данных, запуска зашифрованных полезных нагрузок с удаленных URL-адресов и осуществления DDoS-атак.

Специалисты также обнаружили, что модуль DDoS поддерживает четыре типа методов DDoS-атак — ICMP Flood, HTTP Flood, TCP Flood и UDP Flood. Выбор метода зависит от системных разрешений, которые модуль может получить на скомпрометированных Linux-серверах.

Для компрометации ботнет Roboto эксплуатирует уязвимость удаленного выполнения кода в ПО Webmin (CVE-2019-15107), устанавливая модуль загрузчика на Linux-серверах.

Как сообщается на странице проекта на GitHub, общее число серверов на базе Webmin составляет 1 млн. По словам исследователей, результаты поискового запроса Shodan выявили около 232 тыс. доступных в Сети серверов, а BinaryEdge — более 470 тыс. (не все доступные Webmin-серверы работают на базе Linux или имеют установленную уязвимую версию ПО).

Несмотря на наличие DDoS функциональности, основной целью ботнета не являются DDoS-атаки, поскольку за три месяца наблюдения специалисты не зафиксировали ни одной подобной атаки.

«Он [Roboto ботнет] также использует алгоритмы Curve25519, Ed25519, TEA, SHA256, HMAC-SHA256 для обеспечения целостности и безопасности своих компонентов и P2P-сети, создает соответствующий самозапускаемый скрипт Linux на основе целевой системы, и маскирует имена файлов и процессов для обеспечения персистентности», — сообщили эксперты.

Для предотвращения эксплуатации уязвимости пользователи могут обновиться до версии Webmin 1.930 или отключить опцию «изменить пароль пользователя».

Webmin — программный комплекс, позволяющий администрировать операционную систему через web-интерфейс, в большинстве случаев, позволяя обойтись без использования командной строки и запоминания системных команд и их параметров.