Grupos de ciberdelincuentes están explotando una serie de vulnerabilidades detectadas en los routers de D-Link para propagar una variante del malware Mirai conocida como MooBot. Esta botnet se dirige a los dispositivos de red de la compañía vulnerables que ejecutan Linux.
Así se desprende de una investigación de Palo Alto Networks tras detectar una oleada de ciberataques que comenzó a principios del pasado mes de agosto. Estos ataques estaban dirigidos expresamente a routers de D-Link haciendo uso de la botnet MooBot, una variante de Mirai.
Se trata de routers que presentan vulnerabilidades y que los ciberdelincuentes están atacando con una combinación de exploits antiguos y nuevos. En concreto, aprovechan las vulnerabilidades de los dispositivos para crear botnets y lanzar ataques de denegación de servicio (DDoS).
En este caso, los atacantes están apostando por el uso de MooBot, descubierto por analistas de Fortinet en diciembre de 2021 aprovechando un fallo en las cámaras de Hikvision para propagarse rápidamente. Esta amenaza consiguió afectar a gran cantidad de dispositivos realizando ataques DDoS.
Pero este malware ha evolucionado hacia la búsqueda de dispositivos vulnerables que puedan infectar.
Según el informe de la Unidad 42 de Palo Alto Networks, MooBot ahora está se dirige a las siguientes vulnerabilidades críticas en los dispositivos D-Link:
CVE-2015-2051: vulnerabilidad de ejecución de comando de encabezado de acción HNAP SOAPA de D-Link
CVE-2018-6530: vulnerabilidad de ejecución remota de código de la interfaz SOAP de D-Link
CVE-2022-26258: vulnerabilidad de ejecución de comandos remotos de D-Link
CVE-2022-28958: vulnerabilidad de ejecución de comandos remotos de D-Link
Cómo garantizar la seguridad de los routers de D-Link
Aunque los routers afectados están pensados para un uso doméstico, ante la cantidad de usuarios que siguen trabajando en remoto hace que los sigan utilizando para tareas corporativas desde su casa.
Como señala William Brown, vicepresidente senior de operaciones y CISO de D-Link, casi todos los productos involucrados llegaron al final de su vida útil hace unos cuatro años.
Si bien apunta que en ningún escaneado de red de los que realizan habían detectado vulnerabilidades, el hecho de que estén al final de su vida útil es motivo para retirarlos y reemplazarlos.
No obstante, desde Palo Alto Networks inciden en el hecho de que la responsabilidad de aplicar parches recae en los usuarios, y recomiendan que apliquen actualizaciones y parches cuando sea posible
Por su parte, D-Link ya ha publicado información sobre este problema de seguridad y ha destacado que el canal directo al consumidor de la compañía ofrecerá una actualización de bajo coste para estos dispositivos afectados.
MooBot fue descubierto originalmente en septiembre de 2019 por la firma de seguridad Qihoo 360. Se propaga mediante actores de amenazas que aprovechan las credenciales predeterminadas de un dispositivo, o vulnerabilidades como las de día cero.
Una vez que MooBot comienza a ejecutarse en los dispositivos comprometidos, los atacantes pueden añadir dispositivos a su botnet y lanzar ataques DDoS con diferentes objetivos. En el caso de los dispositivos de D-Link, actualizarlos o cambiarlos por unos nuevos tal y como aconseja Brown.
