เตือนพบ P2P Botnet ใช้ช่องโหว่ Webmin แนะนำผู้ใช้เร่งอัปเดต

Qihoo 360 ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยได้ประกาศเตือน Botnet ที่ชื่อ Roboto ซึ่งจุดเด่นคือโครงสร้างเป็น Peer-to-peer และกำลังขยายฐานการโจมตีในวงกว้าง โดยอาศัยช่องโหว่ของ Webmin หมายเลข CVE-2019-15107

credit : Netlab, Qihoo 360

Webmin เป็นเครื่องมือแบบ Web-based ที่ผู้ดูแลระบบ Linux ใช้เพื่อบริหารจัดการระบบ โดยคนร้ายได้ประยุกต์ใช้ช่องโหว่หมายเลข CVE-2019-15107 ที่ถูกเปิดเผยออกมาเมื่อเดือนสิงหาคมที่ผ่านมาเพื่อติดตั้งโมดูล Downloader อย่างไรก็ตามนักวิจัยพบว่า Roboto มีความสามารถ DDoS เช่น ICMP, HTTP, TCP และ UDP แต่ยังไม่ปรากฏการเริ่มโจมตีโดยคาดว่าน่าจะกำลังอยู่ในสถานะสะสมจำนวนอยู่ ทั้งนี้คาดว่ามีเป้าหมายที่มีช่องโหว่และเชื่อมต่อได้ผ่านอินเทอร์เน็ตสูงกว่า 200,000 เครื่อง นอกจากนี้ Roboto ยังมีความสามารถอื่นๆ เช่น

  • ทำเป็น Reverse Shell เพื่อเปิดให้แฮ็กเกอร์เข้ามารันคำสั่งบนเครื่องเหยื่อ
  • เก็บข้อมูล ระบบ โปรเซส และเครือข่าย
  • อัปโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์
  • รันคำสั่ง Linux
  • Execute ไฟล์จาก URL
  • ถอนการติดตั้งตัวเอง

อีกความสามารถหนึ่งที่พบได้น้อยในกลุ่ม Botnet และทำให้เครือข่ายของ Roboto ถูกทำลายได้ยากคือความเป็น P2P ซึ่งกลุ่ม Zombie จะทำหน้าที่เป็นจุด Relay คำสั่งหรือสแกนหาเหยื่ออื่นเพื่อขยายการโจมตีต่อไป สำหรับวิธีการป้องกันแนะนำให้ผู้ใช้งานอัปเดต Webmin เป็นเวอร์ชัน 1.930 หรือปิด Option ‘user password change’

ที่มา :  https://www.bleepingcomputer.com/news/security/linux-webmin-servers-being-attacked-by-new-p2p-roboto-botnet/ และ  https://www.zdnet.com/article/new-roboto-botnet-emerges-targeting-linux-servers-running-webmin/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Microsoft เผย 3 เทคนิค Phishing อันแนบเนียนที่ควรพึงระวัง

Microsoft ได้ออกรายงานแนวโน้มภัยคุกคามและความมั่นคงปลอดภัยไซเบอร์ที่เกิดขึ้นในปี 2019 ระบุว่า Phishing เป็นหนึ่งใในไม่กี่รูปแบบการโจมตีที่ยังคงพบบ่อยมากขึ้นในช่วง 2 ปีที่ผ่านมานี้ ในขณะที่ Ransomware, Crypto-mining และมัลแวร์รูปแบบอื่นๆ เริ่มพบน้อยลง

Microsoft Threat Protection เปิดให้ทดลองใช้งานแล้ว

Microsoft ประกาศเปิดให้ทดลองใช้ Microsoft Threat Protection แบบ Public Preview เพิ่มความสามารถในการตอบสนองต่อภัยคุกคามโดยอัตโมมัติ รวมไปถึงแก้ปัญหาที่เกิดขึ้นบนอุปกรณ์ อัตลักษณ์ของผู้ใช้งาน และกล่องอีเมลได้ด้วยตนเอง