Vulnerabilità in Webmin: sistemi Linux aggiunti alla botnet Roboto

Author: IlSoftware.it

Webmin è uno degli strumenti più noti e utilizzati per gestire la configurazione di un server Linux mediante interfaccia grafica. Come abbiamo visto in altri nostri articoli, Webmin dispensa l’utente dal dover utilizzare la riga di comando, magari collegato via SSH un server remoto, e permette di eseguire comodamente la maggior parte delle impostazioni da browser web. Maggiori informazioni sul sito ufficiale, a questo indirizzo.

I ricercatori di 360 Netlab hanno scoperto che tante installazioni di Webmin sono state attaccate collegando i sistemi aggrediti a una botnet chiamata Roboto. L’attacco ha preso di mira le installazioni di Webmin che si affacciano su indirizzo IP pubblico e che non sono state protette attraverso l’installazione della patch di sicurezza rilasciata ad agosto 2019.

Per mettersi al riparo da qualunque rischio, viene caldeggiato l’aggiornamento a Webmin 1.930 oppure la disabilitazione della funzionalità per la modifica della password utente.
Ancora una volta, però, l’esposizione della porta 10000 – quella usata di default da Webmin – da parte di un’ampia fetta di amministratori rappresenta un’importante “svista”. Rendere una porta raggiungibile da parte di qualunque indirizzo IP sulla WAN può sempre costituire un problema quando si parla di tool amministrativi o servizi sensibili.
Usando strumenti come Shodan (Shodan, cos’è e come permette di scovare webcam, router, NAS e altri dispositivi remoti) o avviando attività di port scanning su ampi intervalli di IP (Port scanning: un’arma doppio taglio. Difendetevi) è semplice trovare quali porte risultano aperte e quali componenti server sono in ascolto su di esse. Per ciascun servizio, quindi, è altrettanto semplice verificare l’eventuale presenza di vulnerabilità sfruttabili in modalità remota.Gli esperti di 360 Netlab hanno potuto verificare che la botnet Roboto permette l’accesso a diverse funzioni quali l’esecuzione di codice remoto sui sistemi altrui, il caricamento di payload da server remoti, l’utilizzo delle macchine aggiunte alla botnet per sferrare attacchi DoS (Denial of Service), l’avvio di shell a distanza, la disinstallazione automatica del malware e molto altro ancora.