Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog

Global Informatique Securite

Global Informatique Securite

Suivez les dernières actualités, sécurité informatique "Bugs & failles". Tenez-vous Informé des dernières Technologies et Optimisation système


Roboto , cible les serveurs Linux sous Webmin

Publié par Catalin Cimpanu Traduction Yomane sur 21 Novembre 2019, 15:05pm

Catégories : #Serveur, #Linux, #Vulnérabilité

PUBLIC VISE :SERVEUR LINUX HACK

La fonction principale du botnet est la capacité de mener des attaques DDoS, une fonctionnalité qu'il n'a pas encore utilisée.

webmin sécurité vulnérabilité linux failles roboto serveur application web exploitation

Un groupe de cybercriminels asservit des serveurs Linux exécutant des applications Webmin vulnérables à un nouveau réseau de zombies actuellement surveillé par les chercheurs en sécurité, sous le nom de Roboto.

L’apparence du botnet remonte à cet été et est liée à la révélation d’une faille majeure de sécurité dans une application Web installée sur plus de 215 000 serveurs - ce qui est le parfait fourreau de canon pour construire un botnet par-dessus.

En août, l'équipe à l'origine de Webmin, une application Web de gestion à distance pour systèmes Linux, a divulgué et corrigé une vulnérabilité qui permettait aux attaquants d'exécuter du code malveillant avec les privilèges root et de reprendre les anciennes versions de Webmin.

En raison de l’exploitation facile de la faille de sécurité et du grand nombre de systèmes vulnérables, les attaques contre les installations Webmin ont commencé plusieurs jours après la publication de la vulnérabilité .

LE NOUVEAU BOTNET ROBOTO

Dans un rapport publié aujourd'hui [ chinois , anglais ], l'équipe Netlab au fournisseur cyber-sécurité chinois Qihoo 360 a déclaré que l' un de ces premiers attaquants était un nouveau botnet , ils sont actuellement le suivi sous le nom de Roboto.

Au cours des trois derniers mois, ce botnet a continué de cibler les serveurs Webmin.

Selon l'équipe de recherche, l'objectif principal du botnet semble avoir été l'expansion, le botnet augmentant en taille mais aussi en complexité du code.

Actuellement, la fonctionnalité principale du botnet semble être une fonctionnalité DDoS. De son côté, bien que la capacité DDoS figure dans le code, Netlab affirme n'avoir jamais vu le botnet mener des attaques DDoS, et les opérateurs de botnet semblent avoir été principalement concentrés au cours des derniers mois sur le développement de la taille du botnet.

Selon Netlab, la fonctionnalité DDoS pourrait lancer des attaques via des vecteurs tels que ICMP, HTTP, TCP et UDP. Mais en plus des attaques DDoS, le robot Roboto installé sur des systèmes Linux piratés (via la faille Webmin) peut également:

  • Fonctionne comme un shell inverse et permet à l'attaquant d'exécuter des commandes shell sur l'hôte infecté
  • Collecte d'informations sur le système, les processus et le réseau du serveur infecté
  • Télécharger les données collectées sur un serveur distant
  • Exécuter les commandes du système Linux ()
  • Exécuter un fichier téléchargé à partir d'une URL distante
  • Se désinstaller

UN AUTRE BOTNET P2P RARE

Mais les fonctionnalités ci-dessus n'ont rien de spécial, car de nombreux autres réseaux de botnets IoT / DDoS possèdent des fonctions similaires, considérées comme des fonctionnalités de base de toute infrastructure de botnet moderne.

Ce qui est unique à Roboto, cependant, est sa structure interne. Les robots sont organisés dans un réseau poste à poste (P2P) et relayent les commandes qu'ils reçoivent d'un serveur central de commande et de contrôle (C & C), plutôt que chaque bot se connectant au contrôleur principal.

Selon Netlab, la plupart des robots sont des zombies, relayant des commandes, mais certains sont également sélectionnés pour soutenir le réseau P2P ou pour fonctionner en tant que scanners pour rechercher d'autres systèmes Webmin vulnérables, afin de développer davantage le réseau de zombies.

La structure P2P est intéressante car les communications basées sur le P2P sont rarement présentes dans les botnets DDoS, et les seuls connus à utiliser P2P sont les botnets Hajime [ 1 , 2 , 3 , 4 ] et Hide'N'Seek .

Si les opérateurs Roboto n'arrêtent pas eux-mêmes le botnet, le supprimer sera une tâche très difficile. Les efforts visant à éliminer le réseau de zombies Hajime ont échoué dans le passé et, selon une source, il est toujours aussi performant, avec 40 000 robots infectés par jour en moyenne et atteignant parfois le sommet de 95 000.

Si Roboto parvient à atteindre cette taille, il reste à déterminer, mais le botnet n'est pas plus grand que Hajime, selon des sources.

 

Source :Zbet

---***---

Pour être informé des derniers articles, inscrivez vous :

Vous aimerez aussi :

Bug ProFTPD expose plus d'un million de serveurs
Bug ProFTPD expose plus d'un million de serveurs
Opensuse Leap 15.0 arrive en fin de vie (eol)
Opensuse Leap 15.0 arrive en fin de vie (eol)
Bientôt Linux Mint 19.3 'Tricia' BETA
Bientôt Linux Mint 19.3 'Tricia' BETA
Fin de vie de Fedora 29
Fin de vie de Fedora 29

Commenter cet article

Suivez-moi

Liens

Archives

Nous sommes sociaux !

Articles récents