Une variante du botnet Mirai connue sous le nom de MooBot coopte des appareils D-Link vulnérables dans une armée de bots de déni de service en tirant parti de plusieurs exploits.
“Si les appareils sont compromis, ils seront entièrement contrôlés par les attaquants, qui pourraient utiliser ces appareils pour mener d’autres attaques telles que des attaques par déni de service distribué (DDoS)”, Palo Alto Networks Unit 42 a dit dans un rapport de mardi.
MooBot, dévoilé pour la première fois par l’équipe Netlab de Qihoo 360 en septembre 2019, ciblait auparavant les enregistreurs vidéo numériques LILIN et les produits de vidéosurveillance Hikvision pour étendre son réseau.
Lors de la dernière vague d’attaques découvertes par l’unité 42 début août 2022, pas moins de quatre failles différentes dans les appareils D-Link, anciens et nouveaux, ont ouvert la voie au déploiement d’échantillons MooBot. Ceux-ci inclus –
- CVE-2015-2051 (Score CVSS : 10,0) – Vulnérabilité d’exécution de la commande d’en-tête SOAPAction HNAP de D-Link
- CVE-2018-6530 (Score CVSS : 9,8) – Vulnérabilité d’exécution de code à distance de l’interface SOAP de D-Link
- CVE-2022-26258 (Score CVSS : 9,8) – Vulnérabilité d’exécution de commande à distance D-Link, et
- CVE-2022-28958 (Score CVSS : 9,8) – Vulnérabilité d’exécution de commande à distance D-Link
L’exploitation réussie des failles susmentionnées pourrait conduire à l’exécution de code à distance et à la récupération d’une charge utile MooBot à partir d’un hôte distant, qui analyse ensuite les instructions d’un serveur de commande et de contrôle (C2) pour lancer une attaque DDoS sur une adresse IP spécifique et numéro de port.
Il est fortement recommandé aux clients des appliances D-Link d’appliquer les correctifs et les mises à niveau publiés par l’entreprise pour atténuer les menaces potentielles.
“Les vulnérabilités […] ont une faible complexité d’attaque mais un impact critique sur la sécurité qui peut conduire à l’exécution de code à distance », ont déclaré les chercheurs. « Une fois que l’attaquant prend le contrôle de cette manière, il pourrait en profiter en incluant les appareils nouvellement compromis dans son botnet pour mener d’autres attaques telles que DDoS.”