Variante de Mirai MooBot Botnet que explota las vulnerabilidades del enrutador D-Link

En la última ola de ataques descubierta por la Unidad 42 a principios de agosto de 2022, hasta cuatro fallas diferentes en los dispositivos D-Link, tanto antiguos como nuevos, allanaron el camino para la implementación de muestras de MooBot. Éstos incluyen –

• CVE-2015-2051 (puntuación CVSS: 10,0): vulnerabilidad de ejecución de comando de encabezado de acción HNAP SOAPA de D-Link
• CVE-2018-6530 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código de la interfaz SOAP de D-Link
• CVE-2022-26258 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos de D-Link y
• CVE-2022-28958 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos de D-Link

La explotación exitosa de las fallas antes mencionadas podría conducir a la ejecución remota de código y la recuperación de una carga útil de MooBot desde un host remoto, que luego analiza las instrucciones de un servidor de comando y control (C2) para lanzar un ataque DDoS en una dirección IP específica y número de puerto.

Se recomienda encarecidamente a los clientes de dispositivos D-Link que apliquen parches y actualizaciones publicados por la empresa para mitigar posibles amenazas.

«Las vulnerabilidades […] tienen una complejidad de ataque baja pero un impacto de seguridad crítico que puede conducir a la ejecución remota de código», dijeron los investigadores. «Una vez que el atacante obtiene el control de esta manera, podría aprovechar al incluir los dispositivos recientemente comprometidos en su botnet para realizar más ataques como DDoS».

Fuente: https://thehackernews.com