Botnet explotando grave vulnerabilidad router D-Link DSL 2750B

Tras la escalda del malware VPN Filter que aún sigue causando estragos, ahora un nuevo estudio acaba de descubrir que un modelo de router ADSL D-Link DSL 2750B uno de los fabricantes más conocidos del mercado, es la última víctima de la conocida botnet Satori. El exploit de hace 2 años permite un ataque RCE (Remote Code Execution). Satori es una variante de la botnet Mirai. La vulnerabilidad fue divulgada a más tardar en 2016. Esta página de D-Link muestra la versión de firmware más reciente para el dispositivo que se publicó en 2015.

Otros informes de la empresa de seguridad Embedi, con sede en Berkeley, California, explican que descubrieron tres fallas explotables en los routers DIR-890L, DIR-885L y DIR-895L de D-Link

• https://embedi.com/blog/enlarge-your-botnet-top-d-link-routers-dir8xx-d-link-routers-cruisin-bruisin/
• https://github.com/embedi/DIR8xx_PoC

O el famoso modelo catastrófico Dlink 850L:

• https://pierrekim.github.io/blog/2017-09-08-dlink-850l-mydlink-cloud-0days-vulnerabilities.html

Descubierto por un equipo de la firma de ciberseguridad Netlab 360, el conocido 'malware', que ya consiguió entrar en más de 100.000 routers de Huawei a finales de 2017 y que se basa en otro gran virus conocido como Mirai, llevaría al menos cinco días atacando una vulnerabilidad crítica del D-Link DSL 2750B, un modelo de router que en Estados Unidos instalan compañías como Verizon.

En España lo venden tiendas como Mediamarkt o Amazon por unos 50 euros. Para más inri, el agujero que estaría explotando es un fallo de seguridad que este dispositivo tiene desde hace al menos 2 años y que aún no ha sido subsanado (la última actualización del firmware del modem corresponde a 2015 y este fallo apareció en 2016).

• http://seclists.org/fulldisclosure/2016/Feb/53
• https://www.exploit-db.com/exploits/44760/ 

2018-06-08	https://www.exploit-db.com/exploits/44864/	XiongMai uc-httpd 1.0.0 - Buffer Overflow CVE-2018-10088
2018-05-25	https://www.exploit-db.com/exploits/44760/	Metasploit module - D-Link DSL-2750B OS Command Injection
2017-01-21	http://www.quantumleap.it/d-link-router-dsl-2750b-firmware-1-01-1-03-rce-no-auth/	D-LINK ROUTER DSL-2750B FIRMWARE 1.01 TO 1.03 – RCE NO AUTH
2016-02-05	http://seclists.org/fulldisclosure/2016/Feb/53	D-Link router DSL-2750B firmware 1.01 to 1.03 - remote command execution no auth required

Tras el primer aviso del equipo de Netlab, lanzado el viernes, otro grupo de expertos, en este caso de la compañía Radware, analizó con más ahinco el problema y descubrió, según un post publicado en su blog este mismo martes, que el virus podía ser incluso más peligroso de lo que se imaginaba. Vieron que Satori se aprovechaba del fallo de tal manera que era capaz de crear un gusano que se propagase de un dispositivo a otro sin que se requiera ningún tipo de interacción del usuario final.

España sería uno de los 20 países más afectados por el problema. Estamos por debajo de países como Estados Unidos o Francia pero por encima de otros como Ucrania o Colombia.

Fuentes:
https://www.elconfidencial.com/tecnologia/2018-06-21/fallo-seguridad-routers-dlink-satori_1582223/