Исследователи кибербезопасности из подразделения 42 Palo Alto Networks обнаружили кампанию, использующую многочисленные уязвимости в маршрутизаторах D-Link для распространения вредоносного ПО для ботнетов. Ботнет — это сеть скомпрометированных потребительских или корпоративных устройств, контролируемая злоумышленником для выполнения вредоносных задач, таких как майнинг криптовалюты без ведома владельцев устройств или проведение распределенной атаки типа «отказ в обслуживании» (DDoS). Некоторые ботнеты состоят из тысяч устройств и способны бомбардировать сервисы миллионами запросов в секунду .
Поскольку маршрутизаторы Wi-Fi напрямую взаимодействуют с открытой сетью, они становятся главными целями для злоумышленников, стремящихся создать ботнет. Кампания, описанная исследователями Unit 42, использует четыре различные уязвимости, распространенные на различных маршрутизаторах D-Link. Все четыре уязвимости занесены в Национальную базу данных уязвимостей (NVD), а три из них имеют рейтинг критической серьезности 9,8 из 10.
Четвертая уязвимость, указанная как CVE-2015-2051 и затрагивающая маршрутизатор D-Link DIR-645, в настоящее время не имеет оценки серьезности CVSS версии 3.x, поскольку она недавно была обновлена дополнительной информацией и ожидает повторного анализа. Однако, в отличие от трех других уязвимостей, эта указана в Каталоге известных эксплуатируемых уязвимостей Агентства кибербезопасности и безопасности инфраструктуры (CISA). Хотя D-Link выпустила исправления для всех четырех уязвимостей, использованных в этой кампании, срок службы маршрутизатора DIR-645 подошел к концу, поэтому CISA рекомендует вывести это устройство из эксплуатации.

Злоумышленники могут использовать все четыре уязвимости, используемые в этой кампании, для удаленного выполнения кода без авторизации. Злоумышленники, стоящие за кампанией, используют эту возможность, чтобы направить уязвимые маршрутизаторы на загрузку полезной нагрузки вредоносного ПО MooBot. MooBot — это вариант вредоносного ПО ботнета Mirai, впервые обнаруженный еще в декабре прошлого года. Как только вредоносная нагрузка заражает скомпрометированные маршрутизаторы, маршрутизаторы присоединяются к более крупной сети MooBot, инициируя связь с сервером управления и контроля MooBot (C2). Злоумышленники, контролирующие сервер C2, могут затем направить скомпрометированные маршрутизаторы для проведения DDoS-атак на целевые серверы и службы.
Те, у кого есть маршрутизаторы D-Link, должны убедиться, что эти устройства обновлены, чтобы защитить их от включения в ботнет MooBot. Четыре уязвимости, использованные в этой кампании, следующие:
Уязвимость | Затронутые маршрутизаторы |
CVE-2015-2051 |
ДИР-645 |
CVE-2018-6530 | ДИР-880Л, ДИР-868Л, ДИР-65Л, ДИР-860Л |
CVE-2022-26258 |
DIR-816L |
CVE-2022-28958 |
ДИР-820Л |