Эксперты: избавьтесь от своего роутера D-Link

Ботнет MooBot (вариант ботнета Mirai ) с начала июля атакует уязвимые маршрутизаторы D-Link с использованием сочетания старых и новых эксплойтов.

Согласно отчету Unit 42 Palo Alto Network , MooBot в настоящее время нацелен на следующие критические уязвимости в устройствах D-Link:

• CVE-2015-2051 (CVSS 2.0 – 10): Уязвимость внедрения команд D-Link HNAP SOAPAction;
• CVE-2018-6530 (CVSS 3.0 – 9,8): RCE - уязвимость интерфейса D-Link SOAP;
• CVE-2022-26258 (CVSS 3.0 – 9,8): RCE - уязвимость D-Link;
• CVE-2022-26258 (CVSS 3.0 – 9,8): RCE - уязвимость D-Link;

D-Link выпустил обновления для устранения этих недостатков, но еще не все пользователи применили патчи, особенно исправления для CVE-2022-26258 и CVE-2022-26258, о которых стало известно в марте и мае этого года.

Операторы MooBot используют RCE-уязвимости, чтобы получить двоичный файл вредоносного ПО с помощью произвольных команд.

Обзор атаки MooBot

После того как вредоносная программа декодирует жестко запрограммированный адрес из конфигурации, захваченные роутеры регистрируются на C&C - сервере злоумышленника. Примечательно, что адрес C&C-сервера отличается от адреса в предыдущих атаках, что указывает на обновление инфраструктуры ботнета. В итоге захваченные маршрутизаторы участвуют в DDoS - атаках на различные цели.

Пользователи скомпрометированных устройств D-Link могут заметить падение скорости интернета, зависание, перегрев маршрутизатора или изменения конфигурации DNS — это распространенные признаки заражения ботнетом.

Если маршрутизатор уже скомпрометирован, нужно выполнить сброс, изменить пароль администратора и установить последние обновления безопасности от D-Link.

Эксперты порекомендовали применить доступные исправления. Если вы используете старое и неподдерживаемое устройство, вам следует настроить его так, чтобы предотвратить удаленный доступ к панели администратора.