• 07/10/2022 22:02

Routers D-Link en el punto de mira de MooBot

(origen) JuanJosRuiz Sep 8, 2022 , , , , ,
Tiempo estimado de lectura: 2 minutos, 14 segundos

Se ha descubierto que la botnet MooBot está aprovechando vulnerabilidades no parcheadas en routers D-Link para incrementar los dispositivos controlados.

MooBot

MooBot es una variante de Mirai descubierta en septiembre de 2019 por el equipo Netlab de Qihoo 360. Anteriormente, Moobot se centraba en dispositivos como las grabadoras de video digital LILIN y los productos de videovigilancia de Hikvision para expandir su red de bots.

A principios del pasado mes de agosto, la Unidad 42 de Palo Alto Networks observó una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades diferentes en los dispositivos D-Link. Se trataba de vulnerabilidades críticas y con una baja complejidad de explotación.

CVE empleadas

CVE-2015-2051 (puntuación CVSS: 10,0): vulnerabilidad de ejecución de comando a través de la acción ‘GetDeviceSettings’ en la interfaz HNAP.CVE-2018-6530 (puntuación CVSS: 9,8): vulnerabilidad de inyección remota de comandos del sistema operativo a través de un parámetro en la interfaz SOAP.CVE-2022-26258 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos a través de un parámetro en ‘lan.asp’.CVE-2022-28958 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código a través de un parámetro en ‘shareport.php’.

Estos fallos de seguridad afectan a los siguientes dispositivos D-Link:

DIR-65LDIR-645DIR816LDIR-820LDIR-860LDIR-868LDIR-880L

Ataque & IOCs

Una explotación exitosa de alguna de las vulnerabilidades anteriores podría conducir a la ejecución remota de comandos o código y permitir la recuperación de la carga útil de MooBot desde un servidor remoto. A partir de aquí el dispositivo permanecería a la espera de instrucciones del servidor de comando y control (C2) para ejecutar, por ejemplo, ataques distribuidos de denegación de servicio (DDoS).

Esquema de la campaña. Fuente: unit42.paloaltonetworks.com

El equipo de investigadores ha publicado una serie de IOCs, que se muestran a continuación:

MooBot C2 (Command & Control):

vpn.comaru.hoy

Hosts maliciosos:

http://159.203.15.179/wget.shhttp://159.203.15.179/wget.sh3http://159.203.15.179/mipshttp://159.203.15.179/mipselhttp://159.203.15.179/armhttp://159.203.15.179/arm5http://159.203.15.179/arm6http://159.203.15.179/arm7http://159.203.15.179/sh4http://159.203.15.179/archttp://159.203.15.179/sparchttp://159.203.15.179/x86_64http://159.203.15.179/i686http://159.203.15.179/i586

Hashes (sha256):

b7ee57a42c6a4545ac6d6c29e1075fa1628e1d09b8c1572c848a70112d4c90a146bb6e2f80b6cb96ff7d0f78b3bdbc496b69eb7f22ce15efcaa275f07cfae075b7ee57a42c6a4545ac6d6c29e1075fa1628e1d09b8c1572c848a70112d4c90a146bb6e2f80b6cb96ff7d0f78b3bdbc496b69eb7f22ce15efcaa275f07cfae07536dcaf547c212b6228ca5a45a3f3a778271fbaf8e198ede305d801bc98893d5a88b858b1411992509b0f2997877402d8bd9e378e4e21efe024d61e25b29daa08d7564c7e6f606ec3a04be3ac63fdef2fde49d3014776c1fb527c3b2e3086ebab72153e51ea461452263dbb8f658bddc8fb82902e538c2f7146c86661928932587123b2de979d85615c35fca99fa40e0b5fbca25f2c7654b083808653c9e4d616cc3e92c52bbcf56ccffb6f6e2942a676b3103f74397c46a21697b7d9c0448be6188bce5483a9bdc618e0ee9f3c961ff5356009572738ab703057857e8477a36b4567979788b37fbed6eeda02b3c15fafe3e0a226ee541d7a0027c31ff05578e206fc99956bd2afceebbcd157c71908f8ce9ddc81a830cbe86a2a3f4ff79da5f44bff052c7fbf3f7ad025d7dbab8bd985b6cac79381eb3f8616bef98fcb01d8713b12aba8c92a15ef2a917f7c03a5216342e7d2626b025523c62308fc799b0737

A pesar de que un par de las vulnerabilidades utilizadas fueron descubiertas hace varios años y todas ellas han sido solucionadas por D-Link, todavía existen muchos dispositivos vulnerables. Se recomienda a los usuarios de dispositivos D-Link afectados la aplicación de las actualizaciones de seguridad y parches disponibles en la página oficial del fabricante para mitigar potenciales amenazas.

Más información:
Mirai Variant MooBot Targeting D-Link Devices
https://unit42.paloaltonetworks.com/moobot-d-link-devices/

Más de 80.000 cámaras Hikvision expuestas por una vulnerabilidad
https://unaaldia.hispasec.com/2022/08/mas-de-80-000-camaras-hikvision-expuestas-por-una-vulnerabilidad.html

Múltiples botnets utilizaron 0-days en dispositivos de grabación de vídeo digital LILIN
https://unaaldia.hispasec.com/2020/03/multiples-botnets-utilizaron-0-days-en-dispositivos-de-grabacion-de-video-digital-lilin.html

La entrada Routers D-Link en el punto de mira de MooBot se publicó primero en Una al Día.

2022/06
Acerca del autor:
Tell us something about yourself.

Artículo de JuanJosRuiz publicado en https://unaaldia.hispasec.com/2022/09/routers-d-link-en-el-punto-de-mira-de-moobot.html

Generated by Feedzy