Um novo botnet chamado Roboto está direcionado a atacar servidores Linux explorando uma vulnerabilidade do aplicativo
Um novo botnet chamado Roboto está direcionado a atacar servidores Linux que executam o aplicativo Webmin, de acordo com pesquisadores de segurança da 360 Netlab. O Roboto é um botnet ponto a ponto que está ativo desde meados do ano e explora uma vulnerabilidade no Webmin. O aplicativo oferece um sistema de gerenciamento remoto baseado na web para servidores Linux e é instalado em até 215 mil servidores.
A vulnerabilidade, identificada como CVE-2019-15107, permite que o bot comprometa servidores Webmin mais antigos executando código malicioso e obtendo privilégios de root (administrador do sistema). A vulnerabilidade foi identificada e corrigida pela empresa por trás do Webmin. No entanto, muitos usuários não instalaram a versão mais recente com o patch, e o Roboto está direcionado a esses servidores.
Segundo os pesquisadores de segurança, o Roboto possui capacidade de ataque DDoS (ataque distribuído de negação de serviço) em seu código e é a principal característica do botnet. Os hackers por trás do botnet pretendem expandi-lo realizando ataques DDoS por meio de vetores como HTTP, ICMP, UDP e TCP.
Além disso, uma vez que o botnet compromete um sistema Linux executando a versão mais antiga do aplicativo Webmin, ele pode executar ações como coletar informações do sistema, da rede e de todo o processo. Além disso, carrega os dados coletados em um servidor remoto, executa comandos do Linux e inicia um arquivo baixado de um URL remoto.
O que torna o Roboto botnet exclusivo é sua estrutura de rede ponto a ponto (P2P). Como um botnet P2P, o Roboto opera sem um servidor de comando e controle (C&C). Botnets P2P, incluindo Hajime e Joanap, tornam mais difícil para os pesquisadores ou autoridades direcioná-las, pois não há domínios ou servidores centralizados para rastrear. Eles criam redes descentralizadas de dispositivos infectados, ou “bots”, que conversam entre si em vez de um servidor central, normalmente empregando protocolos personalizados para comunicação que devem ser descriptografados antes que possam ser analisados.
Para evitar esse ataque, os pesquisadores de segurança recomendam que os usuários atualizem o Webmin para a versão 1.930 ou desative a opção “alteração de senha do usuário” no aplicativo.
O Roboto suporta sete funções: shell reverso (permitindo que invasores executem comandos em bots infectados) e recursos de autodesinstalação, bem como a capacidade de coletar informações de rede de processo, coletar informações de bots, executar comandos do sistema, executar arquivos criptografados especificados em URLs e iniciar ataques DDoS. No entanto, os principais objetivos do Roboto permanecem desconhecidos neste momento, dizem os pesquisadores. “O botnet tem funcionalidade DDoS, mas parece que o DDoS não é seu principal objetivo. Ainda precisamos capturar um único comando de ataque DDoS, pois ele apareceu no nosso radar. Ainda estamos para aprender seu verdadeiro propósito.”
