Tech

MooBot, la botnet che prende di mira i router D-Link

da Salvatore Lombardo
scritto da Salvatore Lombardo 0 commenti 2 minuti leggi

I ricercatori dell’Unità 42 Palo Alto Network hanno scoperto attacchi che sfruttano diverse vulnerabilità in prodotti di rete e connettività D-Link. I dispositivi compromessi potrebbero essere completamente controllati dagli attori malevoli per condurre attacchi di tipo DDoS (Distributed Denial-of-Service).

Le vulnerabilità note

Quattro sarebbero le vulnerabilità note e sfruttate dagli attacchi scoperti dai ricercatori. Di seguito le informazioni:

  • CVE-2015-2051 : Vulnerabilità nell’esecuzione del comando dell’intestazione di D-Link HNAP SOAPA – Gravità (CVSS versione 2.0): 10.0 alta;
  • CVE-2018-6530 : Vulnerabilità nell’esecuzione di codice remoto dell’interfaccia SOAP D-Link – Gravità (CVSS Versione 3.0): 9.8 Critica;
  • CVE-2022-26258 : Vulnerabilità nell’esecuzione di comandi remoti D-Link – Gravità (CVSS Versione 3.0): 9.8 Critica;
  • CVE-2022-28958 : Vulnerabilità nell’esecuzione di comandi remoti D-Link – Gravità (CVSS Versione 3.0): 9.8 Critica.

Il flusso di attacco

Gli exploit che sfruttano le suddette vulnerabilità diffonderebbero MooBot, una variante Mirai, che prende di mira i dispositivi di rete esposti Linux realizzati da D-Link. MooBot, secondo l’analisi, erediterebbe le caratteristiche più significative di Mirai, pur non utilizzandone la stessa chiave di crittografia:

  • una sezione dati con credenziali di accesso predefinite incorporate;
  • la configurazione botnet.
image 14
Fonte: Unità 42 Palo Alto Network

In caso di sfruttamento riuscito, i file binari MooBot vengono scaricati da un host remoto (159.203.15[.]179) tramite un downloader di script e successivamente eseguiti. I dispositivi appena compromessi, vengono così registrati sul server di comando e controllo C2 instaurando una comunicazione e potranno partecipare ad attacchi DDoS diretti contro vari obiettivi designati dagli operatori MooBot seguendo precisi comandi.

Possibili mitigazioni

Lo sfruttamento delle vulnerabilità in oggetto, causando l’esecuzione di codice in modalità remota, potrebbe avere un impatto critico sulla sicurezza. La situazione risulta ulteriormente aggravata anche dalla semplicità del modello di attacco studiato e dalla presenza di dispositivi vulnerabili. Per tutte queste ragioni gli esperti consigliano vivamente di applicare patch e aggiornamenti quanto prima.

Gli IoC ed altri dettagli sono disponibili sul rapporto emesso da Unit42 di Palo Alto Network.

Annunci
Potreste Essere Interessati

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Si può anche come

Apple vittima di satira, AI, aggiornamenti software e...

La nuova generazione Surface trasforma Windows 11 con...

Microsoft sospesa tra aggiornamenti invisibili, bug critici e...

Aggiornamenti di primavera per qBittorrent, LibreOffice, GStreamer e...

Cosmic Alpha 7 e Trinity R14.1.4 si rinnovano...

Linux si aggiorna con OpenMandriva, openSUSE e 4MLinux

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara