Investigadores de seguridad en redes de la firma Netlab acaban de publicar un informe donde mencionan que los servidores Linux que ejecutan instalaciones Webmin sin actualizar se encuentran bajo una seria campaña de ataque que tiene como objetivo integrar las implementaciones comprometidas a una botnet conocida como Roboto.
Durante su investigación, los especialistas lograron recolectar los módulos de bot y de descarga de la botnet, por lo que se espera publiquen nuevos hallazgos en el futuro.
Los primeros análisis publicados por la firma de seguridad en redes muestran que el bot de Roboto cuenta con siete funciones diferentes, incluyendo:
- Shell inverso
- Desinstalación automática
- Ejecución de comandos
- Recolección y extracción de información de redes
- Ejecución de carga útil cifrada desde una URL remota
- Despliegue de ataques de denegación de servicio (DoS)
En el informe destaca que, a pesar de que el módulo DoS admite cuatro variantes de ataque diferentes dependiendo de los permisos que pueda obtener en el sistema Linux objetivo, aún no se ha detectado un solo ataque DoS de Roboto desde que comenzó la actividad de esta botnet.
Respecto a la integración a la botnet de un sistema comprometido, los actores de amenazas explotan una vulnerabilidad de ejecución remota de código (RCE) en Webmin. Esta falla, identificada como CVE-2019-15107, permite a los hackers entregar el módulo de descarga del contenido malicioso en los servidores Linux que ejecutan instalaciones vulnerables de la herramienta de administración de sistemas Unix Webmin.
Los expertos en seguridad en redes afirman que actualmente existen más de un millón de instalaciones de Webmin vulnerables. Por otra parte, el equipo encargado de la herramienta Shodan menciona que hay alrededor de 230 mil servidores potencialmente expuestos, mientras que BinaryEdge descubrió alrededor de 450 mil. Es importante señalar que no todos los servidores Webmin encontrados en escaneos de Internet ejecutan versiones vulnerables del sistema Linux.
En su informe los investigadores también mencionaron que el servidor que atacó su honeypot para entregar el módulo de descarga de Roboto ejecutaba un servicio Webmin en el puerto TCP/10000, un indicio de que los hackers usan sistemas previamente infectados para integrar más dispositivos a la botnet.
Este bot también usa diversos algoritmos para garantizar la integridad de sus componentes y la red P2P, además de crear el script de inicio automático y ocultar sus archivos y procesos, asegurando su persistencia en el sistema comprometido.
A pesar de que las botnets P2P no son demasiado comunes, se tienen registros de su presencia desde al menos hace diez años con las conocidas Nugache y Storm, Sality P2P, Miner, Zeus P2P, entre otras.
A pesar de que estas botnets son conocidas por su gran resistencia contra algunas variantes de ataque, sí es posible interrumpir su funcionamiento y forzar a los operadores a interrumpir sus ataques.
A falta de la publicación de más detalles sobre esta botnet, especialistas en seguridad en redes del Instituto Internacional de Seguridad Cibernética (IICS) recomiendan a los administradores verificar si sus instalaciones cuentan con los parches correspondientes para mitigar el riesgo de ataque.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad