Linux сървъри с Webmin са цел на DDoS атаки от нов ботнет

Нов ботнет атакува Linux сървъри, които използват приложението Webmin.

Открит е нов ботнет с името Roboto, чиято цел са Linux сървъри, с инсталиран администраторски панел Webmin, съобщават специалистите по сигурността от 360 Netlab. Webmin е безплатно приложение с отворен код за отдалечено администриране на Linux сървъри и е инсталиран на минимум 215 000 сървъра.

Ботнетът Roboto е от типа peer-to-peer, активен е от лятото на тази година и се възползва от уязвимост в Webmin, заведена като CVE-2019-15107. Уязвимостта може да се експлоатира от кибер престъпници, които да инжектират зловреден код, придобивайки администраторски права над машината. Проблемът е в параметъра old в password_change.cgi при версии на Webmin по-ниски от 1.920.

Разработчиците на Webmin отдавна са закърпили проблема, но голяма част от потребителите все още не са инсталирали последната версия на софтуера и именно те са цел на Roboto. Основна функция на ботнета е възможността за DDoS атака, която може да бъде изпълнена посредством HTTP, ICMP, TCP и UDP.

Веднъж заразил системата, освен DDoS атака, Roboto може да събира различна информация за мрежата, за системата и за процесите. Събраната информация се изпраща към отдалечен сървър, изпълнява различни Linux команди и инициира сваляне на файл от отдалечен интернет адрес.

За да сте защитени от Roboto специалистите препоръчват да използвате най-новата верся на Webmin, при която експлоатираната от ботнета уязвимост е поправена.