Una variante de la botnet Mirai conocida como MooBot está integrando dispositivos D-Link vulnerables en un ejército de bots de denegación de servicio aprovechando múltiples vulnerabilidades.
«Si los dispositivos se ven comprometidos, estarán completamente controlados por los atacantes, que podrían utilizar esos dispositivos para realizar más ataques, como ataques distribuidos de denegación de servicio (DDoS)», Unidad 42 de Palo Alto Networks. dijo en un informe del martes.
MooBot, revelado por primera vez por el equipo Netlab de Qihoo 360 en septiembre de 2019, se ha centrado previamente en las grabadoras de video digital LILIN y los productos de videovigilancia de Hikvision para expandir su red.
En la última ola de ataques descubierta por la Unidad 42 a principios de agosto de 2022, hasta cuatro fallas diferentes en los dispositivos D-Link, tanto antiguos como nuevos, allanaron el camino para la implementación de muestras de MooBot. Éstos incluyen –
- CVE-2015-2051 (Puntuación CVSS: 10,0) – Vulnerabilidad de ejecución de comando de encabezado de acción HNAP SOAPA de D-Link
- CVE-2018-6530 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución remota de código de la interfaz SOAP de D-Link
- CVE-2022-26258 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución de comandos remotos de D-Link, y
- CVE-2022-28958 (Puntuación CVSS: 9,8) – Vulnerabilidad de ejecución de comandos remotos de D-Link
La explotación exitosa de las fallas antes mencionadas podría conducir a la ejecución remota de código y la recuperación de una carga útil de MooBot desde un host remoto, que luego analiza las instrucciones de un servidor de comando y control (C2) para lanzar un ataque DDoS en una dirección IP específica y número de puerto.
Se recomienda encarecidamente a los clientes de dispositivos D-Link que apliquen parches y actualizaciones publicados por la empresa para mitigar posibles amenazas.
«Las vulnerabilidades […] tienen una complejidad de ataque baja pero un impacto de seguridad crítico que puede conducir a la ejecución remota de código», dijeron los investigadores. «Una vez que el atacante obtiene el control de esta manera, podría aprovechar al incluir los dispositivos recientemente comprometidos en su red de bots para realizar más ataques como DDoS».