Eine Variante des Mirai-Botnetzes, bekannt als MooBot, macht sich anfällige D-Link-Geräte zu Nutze und baut sie zu einer Armee von Denial-of-Service-Bots auf.
„Wenn die Geräte kompromittiert sind, werden sie vollständig von Angreifern kontrolliert, die diese Geräte für weitere Angriffe, wie z. B. Distributed Denial-of-Service (DDoS)-Attacken, nutzen können“, so Palo Alto Networks Unit 42 in einem Bericht vom Dienstag.
MooBot, der erstmals im September 2019 vom Netlab-Team von Qihoo 360 entdeckt wurde, hatte es bereits auf digitale Videorekorder von LILIN und Videoüberwachungsprodukte von Hikvision abgesehen, um sein Netzwerk zu erweitern.
In der jüngsten Angriffswelle, die von Unit 42 Anfang August 2022 entdeckt wurde, haben gleich vier verschiedene Schwachstellen in alten und neuen D-Link-Geräten den Weg für den Einsatz von MooBot-Samples geebnet. Dazu gehören –
CVE-2015-2051 (CVSS score: 10.0) – D-Link HNAP SOAPAction Header Command Execution Vulnerability
(CVSS score: 10.0) – D-Link HNAP SOAPAction Header Command Execution Vulnerability CVE-2018-6530 (CVSS score: 9.8) – D-Link SOAP Interface Remote Code Execution Vulnerability
(CVSS score: 9.8) – D-Link SOAP Interface Remote Code Execution Vulnerability CVE-2022-26258 (CVSS score: 9.8) – D-Link Remote Command Execution Vulnerability, und
(CVSS score: 9.8) – D-Link Remote Command Execution Vulnerability und CVE-2022-28958 (CVSS score: 9.8) – D-Link Remote Command Execution Vulnerability
Wenn die oben genannten Schwachstellen erfolgreich ausgenutzt werden, kann dies zur Remotecodeausführung und zum Abrufen einer MooBot-Nutzlast von einem entfernten Host führen, die dann Anweisungen von einem Command-and-Control-Server (C2) analysiert, um einen DDoS-Angriff auf eine bestimmte IP-Adresse und Portnummer zu starten.
Kunden von D-Link Appliances wird dringend empfohlen, die vom Unternehmen herausgegebenen Patches und Upgrades anzuwenden, um potenzielle Bedrohungen zu entschärfen.
„Die Schwachstellen […] haben eine geringe Angriffskomplexität, aber kritische Sicherheitsauswirkungen, die zur Remotecodeausführung führen können“, so die Forscher. „Sobald der Angreifer auf diese Weise die Kontrolle erlangt, könnte er die neu kompromittierten Geräte in sein Botnetz einbinden, um weitere Angriffe wie DDoS durchzuführen.