Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Routers D-Link afectados por una variante de la Mirai llamada MooBot


 Se ha descubierto que la botnet MooBot está aprovechando vulnerabilidades no parcheadas en routers D-Link para incrementar los dispositivos controlados.





MooBot

MooBot es una variante de Mirai descubierta en septiembre de 2019 por el equipo Netlab de Qihoo 360. Anteriormente, Moobot se centraba en dispositivos como las grabadoras de video digital LILIN y los productos de videovigilancia de Hikvision para expandir su red de bots.

A principios del pasado mes de agosto, la Unidad 42 de Palo Alto Networks observó una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades diferentes en los dispositivos D-Link. Se trataba de vulnerabilidades críticas y con una baja complejidad de explotación.


En la última ola de ataques descubierta por la Unidad 42 a principios de agosto de 2022, hasta cuatro fallas diferentes en los dispositivos D-Link, tanto antiguos como nuevos, allanaron el camino para la implementación de muestras de MooBot. Éstos incluyen –

  • CVE-2015-2051 (puntuación CVSS: 10,0): vulnerabilidad de ejecución de comando de encabezado de acción HNAP SOAPA de D-Link
  • CVE-2018-6530 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código de la interfaz SOAP de D-Link
  • CVE-2022-26258 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos de D-Link y
  • CVE-2022-28958 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos de D-Link

Vulnerabilidades CVE 

  • CVE-2015-2051 (puntuación CVSS: 10,0): vulnerabilidad de ejecución de comando a través de la acción ‘GetDeviceSettings’ en la interfaz HNAP.
  • CVE-2018-6530 (puntuación CVSS: 9,8): vulnerabilidad de inyección remota de comandos del sistema operativo a través de un parámetro en la interfaz SOAP.
  • CVE-2022-26258 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos a través de un parámetro en ‘lan.asp’.
  • CVE-2022-28958 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código a través de un parámetro en ‘shareport.php’.

Estos fallos de seguridad afectan a los siguientes dispositivos D-Link:

  • DIR-65L
  • DIR-645
  • DIR816L
  • DIR-820L
  • DIR-860L
  • DIR-868L
  • DIR-880L

Ataque & IOCs

Una explotación exitosa de alguna de las vulnerabilidades anteriores podría conducir a la ejecución remota de comandos o código y permitir la recuperación de la carga útil de MooBot desde un servidor remoto. A partir de aquí el dispositivo permanecería a la espera de instrucciones del servidor de comando y control (C2) para ejecutar, por ejemplo, ataques distribuidos de denegación de servicio (DDoS).


Esquema de la campaña. Fuente: unit42.paloaltonetworks.com

El equipo de investigadores ha publicado una serie de IOCs, que se muestran a continuación:

MooBot C2 (Command & Control):

  • vpn.comaru.hoy

A pesar de que un par de las vulnerabilidades utilizadas fueron descubiertas hace varios años y todas ellas han sido solucionadas por D-Link, todavía existen muchos dispositivos vulnerables. Se recomienda a los usuarios de dispositivos D-Link afectados la aplicación de las actualizaciones de seguridad y parches disponibles en la página oficial del fabricante para mitigar potenciales amenazas.


La explotación exitosa de las fallas antes mencionadas podría conducir a la ejecución remota de código y la recuperación de una carga útil de MooBot desde un host remoto, que luego analiza las instrucciones de un servidor de comando y control (C2) para lanzar un ataque DDoS en una dirección IP específica y número de puerto.

Se recomienda encarecidamente a los clientes de dispositivos D-Link que apliquen parches y actualizaciones publicados por la empresa para mitigar posibles amenazas.

«Las vulnerabilidades […] tienen una complejidad de ataque baja pero un impacto de seguridad crítico que puede conducir a la ejecución remota de código», dijeron los investigadores. «Una vez que el atacante obtiene el control de esta manera, podría aprovechar al incluir los dispositivos recientemente comprometidos en su botnet para realizar más ataques como DDoS».


Fuentes:

https://unaaldia.hispasec.com/2022/09/routers-d-link-en-el-punto-de-mira-de-moobot.html

https://thehackernews.com/2022/09/mirai-variant-moobot-botnet-exploiting.html


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.