حمله باتنت Roboto به سرورهای لینوکس
به گزارش کارگروه امنیت سایبربان؛ بهتازگی شرکت امنیتی چینی چیهو 360 نتلب (Qihoo 360 Netlab) با انتشار گزارشی اعلام کرده است بات نت روبوتو (Roboto) از آسیبپذیری وبماین (Webmin) استفاده کرده و سرورهای لینوکس را هدف قرار میدهد. وبماین محبوبترین ابزار متنباز web-based در سیستمعاملهای تحت Unix مانند Linux ،FreeBSD و OpenBSD است. کارشناسان امنیتی در ماه اوت 2019 در وبماین یک درب پشتی و آسیبپذیری به نام CVE-2019-15107 شناسایی کردند که به مهاجمان اجازه میداد کد دلخواهی بر روی سیستم هدف با حقوق فوق کاربر اجرا کنند. بهرهبرداری از آسیبپذیری کار دشواری نبوده و تنها چند روز پس از شناسایی آسیبپذیری، نسخههای آسیبپذیر وبماین موردتهاجم قرار گرفتند.
طبق گفته توسعهدهندگان رسمی، وبماین بیش از 1میلیون بسته نصب دارد و به گزارش سرویس شودان (shodan) بیش از 230 هزار مورد از این نسخهها در اینترنت قابلدسترس است. براساس آمار BinaryEdge نیز بیش از 470 هزار بسته نصب وبماین آسیبپذیر بوده و در دسترس است. محققان شرکت چیهو 360 معتقدند که روبوتو اولین بهرهبردار از آسیبپذیری وبماین است و اخیراً نیز توسعه یافته و کد آن پیچیدهتر شده است. محققان این شرکت میگویند کارکرد اصلی این باتنت انجام حملات منع سرویس توزیعشده یا دیداس (DDoS) با استفاده از ICMP ،HTTP ،TCP و UDP است.
روبوتوی نصبشده در سیستمعاملهای لینوکس قادر است:
• بهعنوان شل معکوس عمل کرده و به مهاجم این امکان را میدهد دستورات پوسته یا فرامین شل را در هاست آلوده اجرا کند؛
• اطلاعات سیستم، پردازندهها و شبکه سرور آلوده را جمعآوری کند؛
• دادههای جمعآوریشده را در یک سرور کنترل از راه دور بارگذاری کند؛
• فایل بارگیری شده از URL از راه دور را اجرا نماید؛
• خود را حذف کند.
باتهای روبوتو در شبکههای نظیربهنظیر سازماندهی شده و دستورات دریافتی از سرور کنترل و فرمان را به یکدیگر مخابره میکنند و تکتک با سرورکنترل ارتباط نمیگیرند. ارتباطات نظیربهنظیر در معدودی از باتنتها منجمله Hajime و Hide'N'Seek مشاهده میشود. اکثر باتهای روبوتو زامبیهای سادهای هستند که اقدام به ارسال فرامین میکنند و برخی نیز از شبکههای نظیربهنظیر پشتیبانی کرده یا بستههای نصب آسیبپذیر دیگری از وب ماین را جستجو میکنند تا حجم باتنت را افزایش دهند.
