Se ha descubierto que la botnet MooBot está aprovechando vulnerabilidades no parcheadas en routers D-Link para incrementar los dispositivos controlados.
MooBot
MooBot es una variante de Mirai descubierta en septiembre de 2019 por el equipo Netlab de Qihoo 360. Anteriormente, Moobot se centraba en dispositivos como las grabadoras de video digital LILIN y los productos de videovigilancia de Hikvision para expandir su red de bots.
A principios del pasado mes de agosto, la Unidad 42 de Palo Alto Networks observó una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades diferentes en los dispositivos D-Link. Se trataba de vulnerabilidades críticas y con una baja complejidad de explotación.
CVE empleadas
- CVE-2015-2051 (puntuación CVSS: 10,0): vulnerabilidad de ejecución de comando a través de la acción ‘GetDeviceSettings’ en la interfaz HNAP.
- CVE-2018-6530 (puntuación CVSS: 9,8): vulnerabilidad de inyección remota de comandos del sistema operativo a través de un parámetro en la interfaz SOAP.
- CVE-2022-26258 (puntuación CVSS: 9,8): vulnerabilidad de ejecución de comandos remotos a través de un parámetro en ‘lan.asp’.
- CVE-2022-28958 (puntuación CVSS: 9,8): vulnerabilidad de ejecución remota de código a través de un parámetro en ‘shareport.php’.
Estos fallos de seguridad afectan a los siguientes dispositivos D-Link:
- DIR-65L
- DIR-645
- DIR816L
- DIR-820L
- DIR-860L
- DIR-868L
- DIR-880L
Ataque & IOCs
Una explotación exitosa de alguna de las vulnerabilidades anteriores podría conducir a la ejecución remota de comandos o código y permitir la recuperación de la carga útil de MooBot desde un servidor remoto. A partir de aquí el dispositivo permanecería a la espera de instrucciones del servidor de comando y control (C2) para ejecutar, por ejemplo, ataques distribuidos de denegación de servicio (DDoS).
El equipo de investigadores ha publicado una serie de IOCs, que se muestran a continuación:
MooBot C2 (Command & Control):
- vpn.comaru.hoy
Hosts maliciosos:
- http://159.203.15.179/wget.sh
- http://159.203.15.179/wget.sh3
- http://159.203.15.179/mips
- http://159.203.15.179/mipsel
- http://159.203.15.179/arm
- http://159.203.15.179/arm5
- http://159.203.15.179/arm6
- http://159.203.15.179/arm7
- http://159.203.15.179/sh4
- http://159.203.15.179/arc
- http://159.203.15.179/sparc
- http://159.203.15.179/x86_64
- http://159.203.15.179/i686
- http://159.203.15.179/i586
Hashes (sha256):
- b7ee57a42c6a4545ac6d6c29e1075fa1628e1d09b8c1572c848a70112d4c90a1
- 46bb6e2f80b6cb96ff7d0f78b3bdbc496b69eb7f22ce15efcaa275f07cfae075
- b7ee57a42c6a4545ac6d6c29e1075fa1628e1d09b8c1572c848a70112d4c90a1
- 46bb6e2f80b6cb96ff7d0f78b3bdbc496b69eb7f22ce15efcaa275f07cfae075
- 36dcaf547c212b6228ca5a45a3f3a778271fbaf8e198ede305d801bc98893d5a
- 88b858b1411992509b0f2997877402d8bd9e378e4e21efe024d61e25b29daa08
- d7564c7e6f606ec3a04be3ac63fdef2fde49d3014776c1fb527c3b2e3086ebab
- 72153e51ea461452263dbb8f658bddc8fb82902e538c2f7146c8666192893258
- 7123b2de979d85615c35fca99fa40e0b5fbca25f2c7654b083808653c9e4d616
- cc3e92c52bbcf56ccffb6f6e2942a676b3103f74397c46a21697b7d9c0448be6
- 188bce5483a9bdc618e0ee9f3c961ff5356009572738ab703057857e8477a36b
- 4567979788b37fbed6eeda02b3c15fafe3e0a226ee541d7a0027c31ff05578e2
- 06fc99956bd2afceebbcd157c71908f8ce9ddc81a830cbe86a2a3f4ff79da5f4
- 4bff052c7fbf3f7ad025d7dbab8bd985b6cac79381eb3f8616bef98fcb01d871
- 3b12aba8c92a15ef2a917f7c03a5216342e7d2626b025523c62308fc799b0737
A pesar de que un par de las vulnerabilidades utilizadas fueron descubiertas hace varios años y todas ellas han sido solucionadas por D-Link, todavía existen muchos dispositivos vulnerables. Se recomienda a los usuarios de dispositivos D-Link afectados la aplicación de las actualizaciones de seguridad y parches disponibles en la página oficial del fabricante para mitigar potenciales amenazas.
Más información:
Mirai Variant MooBot Targeting D-Link Devices
https://unit42.paloaltonetworks.com/moobot-d-link-devices/
Más de 80.000 cámaras Hikvision expuestas por una vulnerabilidad
https://unaaldia.hispasec.com/2022/08/mas-de-80-000-camaras-hikvision-expuestas-por-una-vulnerabilidad.html
Múltiples botnets utilizaron 0-days en dispositivos de grabación de vídeo digital LILIN
https://unaaldia.hispasec.com/2020/03/multiples-botnets-utilizaron-0-days-en-dispositivos-de-grabacion-de-video-digital-lilin.html
