Ботнет MooBot Mirai дает хакерам полный контроль над вашим маршрутизатором D-Link, обновите как можно скорее

moobot mirai botnet control d link маршрутизаторы обновление новости
Исследователи кибербезопасности из подразделения 42 Palo Alto Networks обнаружили кампанию, использующую многочисленные уязвимости в маршрутизаторах D-Link для распространения вредоносного ПО для ботнетов. Ботнет — это сеть скомпрометированных потребительских или корпоративных устройств, контролируемая злоумышленником для выполнения вредоносных задач, таких как майнинг криптовалюты без ведома владельцев устройств или проведение распределенной атаки типа «отказ в обслуживании» (DDoS). Некоторые ботнеты состоят из тысяч устройств и способны бомбардировать сервисы миллионами запросов в секунду .

Поскольку маршрутизаторы Wi-Fi напрямую взаимодействуют с открытой сетью, они становятся главными целями для злоумышленников, стремящихся создать ботнет. Кампания, описанная исследователями Unit 42, использует четыре различные уязвимости, распространенные на различных маршрутизаторах D-Link. Все четыре уязвимости занесены в Национальную базу данных уязвимостей (NVD), а три из них имеют рейтинг критической серьезности 9,8 из 10.

Четвертая уязвимость, указанная как CVE-2015-2051 и затрагивающая маршрутизатор D-Link DIR-645, в настоящее время не имеет оценки серьезности CVSS версии 3.x, поскольку она недавно была обновлена ​​дополнительной информацией и ожидает повторного анализа. Однако, в отличие от трех других уязвимостей, эта указана в Каталоге известных эксплуатируемых уязвимостей Агентства кибербезопасности и безопасности инфраструктуры (CISA). Хотя D-Link выпустила исправления для всех четырех уязвимостей, использованных в этой кампании, срок службы маршрутизатора DIR-645 подошел к концу, поэтому CISA рекомендует вывести это устройство из эксплуатации.

новости кампании moobot kill chain
Цепочка убийств MooBot D-Link (источник: Unit 42 )

Злоумышленники могут использовать все четыре уязвимости, используемые в этой кампании, для удаленного выполнения кода без авторизации. Злоумышленники, стоящие за кампанией, используют эту возможность, чтобы направить уязвимые маршрутизаторы на загрузку полезной нагрузки вредоносного ПО MooBot. MooBot — это вариант вредоносного ПО ботнета Mirai, впервые обнаруженный еще в декабре прошлого года. Как только вредоносная нагрузка заражает скомпрометированные маршрутизаторы, маршрутизаторы присоединяются к более крупной сети MooBot, инициируя связь с сервером управления и контроля MooBot (C2). Злоумышленники, контролирующие сервер C2, могут затем направить скомпрометированные маршрутизаторы для проведения DDoS-атак на целевые серверы и службы.

Те, у кого есть маршрутизаторы D-Link, должны убедиться, что эти устройства обновлены, чтобы защитить их от включения в ботнет MooBot. Четыре уязвимости, использованные в этой кампании, следующие:

Уязвимость Затронутые маршрутизаторы
CVE-2015-2051
ДИР-645
CVE-2018-6530 ДИР-880Л, ДИР-868Л, ДИР-65Л, ДИР-860Л
CVE-2022-26258
DIR-816L
CVE-2022-28958
ДИР-820Л

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал