Gli attori delle minacce stanno sfruttando le vulnerabilità dei router D-Link per diffondere una variante del malware Mirai chiamata MooBot, che prende di mira i dispositivi di rete esposti con sistema operativo Linux, secondo una ricerca pubblicata martedì dall’Unità 42 di Palo Alto Networks.
Approfondimento:
MooBot è stato scoperto originariamente nel settembre 2019 dalla società di sicurezza Qihoo 360. Secondo i ricercatori, MooBot viene diffuso dagli attori delle minacce sfruttando le credenziali predefinite di un dispositivo e le vulnerabilità n-day o zero-day.
“Una volta che MooBot inizia a essere eseguito sui dispositivi compromessi, gli aggressori possono aggiungere i dispositivi compromessi alla loro botnet e lanciare attacchi DDoS per diversi scopi”, ha dichiarato Zhibin Zhang, ricercatore principale senior di Palo Alto Networks.
Le vulnerabilità includono le seguenti:
- CVE-2015-2051 Vulnerabilità di esecuzione dei comandi dell’intestazione SOAPAction di D-Link HNAP
- CVE-2018-6530 Vulnerabilità di esecuzione di codice remoto dell’interfaccia SOAP di D-Link
- CVE-2022-26258 Vulnerabilità di esecuzione di codice remoto di D-Link
- CVE-2022-28958 Vulnerabilità di esecuzione di codice remoto di D-Link
I ricercatori dell’Unità 42 di Palo Alto Networks hanno originariamente notato l’attività nel mese di agosto, che prevedeva lo sfruttamento dei router domestici D-Link progettati per l’uso da parte dei consumatori. Tuttavia, molti lavoratori aziendali continuano a lavorare in remoto e quindi utilizzano i router per lavoro.
William Brown, vicepresidente senior delle operazioni e CISO di D-Link, ha dichiarato che quasi tutti i prodotti coinvolti hanno raggiunto la fine del ciclo di vita (EOL) o la fine del servizio (EOS) circa quattro anni fa. Brown ha affermato che i dispositivi dovrebbero essere ritirati e sostituiti. “Non ne eravamo a conoscenza, anche se scansioniamo la rete in continuazione”, ha dichiarato Brown via e-mail. Brown ha detto che i ricercatori potrebbero essersi accorti delle vulnerabilità perché i dispositivi non sono più supportati e hanno raggiunto lo stato di fine vita.
Alla domanda se i ricercatori avessero contattato l’azienda, Jen Miller Osborn, vice direttore dell’intelligence sulle minacce di Unit 42, ha risposto che una volta che un proof of concept viene reso pubblico, gli aggressori iniziano a sfruttarlo entro 24 ore. “La tipica divulgazione responsabile si concentra su 90 giorni – alcune delle vulnerabilità presenti nel nostro blog risalgono al 2015”, ha osservato Osborn via e-mail.
Osborn ha detto che a questo punto l’onere di applicare le patch spetta agli utenti e i ricercatori raccomandano vivamente di applicare gli aggiornamenti e le patch dove possibile. Brown ha detto che l’azienda seguirà i ricercatori. D-Link ha emesso un bollettino mercoledì con informazioni sul problema di sicurezza dopo che Cybersecurity Dive l’ha contattata per chiedere un commento sul rapporto. Brown ha dichiarato che il canale direct-to-consumer dell’azienda offre in genere un aggiornamento a basso costo per questi dispositivi.
