Nuova botnet Roboto prende di mira Webmin

21/11/2019

botnet CVE 2019-15107 Roboto webmin

Secondo quanto evidenziato dal report dei ricercatori di NetLab 360, la botnet Roboto colpisce i server Linux che presentano installazioni di Webmin vulnerabili. Roboto infatti, sfrutta una vulnerabilità Webmin RCE tracciata con CVE-2019-15107 per rilasciare il suo modulo downloader. La botnet è stata rilevata lo scorso agosto dai ricercatori e continua ad essere monitorata.

Funzionamento

La botnet è in grado di condurre flood attack su protocolli ICMP, HTTP, TCP e UDP. Oltre agli attacchi DDoS, potrebbe:

  • Funzionare come una reverse shell;
  • Raccogliere informazioni di sistema;
  • Caricare i dati raccolti su un server remoto;
  • Eseguire comandi di sistema;
  • Eseguire un file scaricato da un URL remoto.

Inoltre, la botnet utilizza il protocollo di comunicazione peer-to-peer (P2P) per interagire con il server di comando e controllo (C&C).

 

La struttura P2P è degna di nota poichè le comunicazioni basate su P2P sono utilizzate raramente nelle botnet DDoS e le uniche conosciute per usare P2P sono le botnet Hajime. Un dettaglio di analisi del sample ELF di Roboto è disponibile su https://blog.netlab.360.com/the-awaiting-roboto-botnet-en/

Conclusioni

A causa del facile sfruttamento del difetto di sicurezza e del vasto numero di sistemi vulnerabili, gli attacchi contro le installazioni di Webmin sono iniziati pochi giorni dopo la divulgazione della vulnerabilità. Di seguito una mappa dei Paesi più colpiti.

 

Il Cert-Pa consiglia di mitigare il difetto di sicurezza aggiornando a Webmin 1.930 o disabilitando l’opzione relativa al “cambio password utente”.