【風險通告】殭屍網路Moobot 利用D-Link漏洞的攻擊活動

0x00 風險概述

2022年9月6日,Palo Alto Networks的Unit 42研究人員發現殭屍網路Moobot利用D-Link 中的多個安全漏洞發起攻擊,一旦攻擊者控制了受影響的設備,便可以實現橫向移動、發起分散式拒絕服務 (DDoS) 攻擊,或利用這些漏洞傳播 MooBot。

0x01 風險詳情

Moobot是一款基於Mirai的殭屍網路,在2021年曾發現Moobot利用海康威視產品中的漏洞進行快速傳播。D-Link是一家全球知名的跨國網路設備製造公司。

Unit 42研究人員發現Moobot 殭屍網路主要利用了D-Link產品中的4個嚴重漏洞進行攻擊,目前D-Link已經發布了這些漏洞的安全更新,但部分未及時安裝補丁的使用者的產品仍然受到以下漏洞影響:

CVE-2015-2051:D-Link HNAP SOAPAction Header 命令執行漏洞

D-Link DIR-645有線/無線路由器Rev.Ax的韌體1.04b12及更早版本允許遠端通過對HNAP接口的GetDeviceSettings操作執行任意命令,該漏洞的CVSS 2.0評分為10.0。

CVE-2018-6530:D-Link SOAP 接口遠端程式碼執行漏洞

D-Link DIR-880L DIR-880L_REVA_FIRMWARE_PATCH_1.08B04及之前版本、DIR-868L DIR868LA1_FW112b04及之前版本、DIR-65L DIR-865L_REVA_FIRMWARE_PATCH_1.08.B01及之前版本,以及DIR-860L DIR860LA1_FW110b04和之前版本,允許遠端通過service參數執行任意OS命令,該漏洞的CVSS v3評分為9.8。

CVE-2022-26258:D-Link 遠端命令執行漏洞

D-Link DIR-820L 1.05B03可通過/lan.asp中的設備名稱參數實現遠端命令執行,該漏洞的CVSS v3評分為9.8。

CVE-2022-28958:D-Link 遠端命令執行漏洞

D-Link DIR816L_FW206b01可通過shareport.php的value參數實現遠端程式碼執行,該漏洞的CVSS v3評分為9.8。

MooBot 的整個攻擊過程如下所示,通過利用這些攻擊複雜度較低的漏洞在目標設備上實現遠端程式碼執行,並使用任意命令獲取惡意軟體二進位制檔案。在惡意軟體解碼了配置中的硬編碼地址後,被感染的路由器將被註冊在攻擊者的C2上,這些被控制的設備可能會被用於針對不同目標的定向DDoS攻擊中。

圖1. MooBot攻擊活動概覽(來源:Unit 42)

被感染的D-Link設備能會出現網速下降、反應遲鈍、路由器過熱或莫名其妙的DNS配置變化等,這些都是殭屍網路感染的常見跡象。

0x02 風險等級

高危。

0x03 安全建議

D-Link已經發布了相關漏洞的安全更新,建議未及時安裝補丁的使用者儘快應用D-Link設備上最新可用的韌體更新,以防範此類惡意軟體攻擊。

0x04 參考連結

http://www.dlink.com.cn/

https://unit42.paloaltonetworks.com/moobot-d-link-devices/

https://www.bleepingcomputer.com/news/security/moobot-botnet-is-coming-for-your-unpatched-d-link-router/

0x05 版本資訊

版本

日期

修改內容

V1.0

2022-09-07

首次發佈

0x06 附錄

公司簡介

啟明星辰成立於1996年,是由留美博士嚴望佳女士創建的、擁有完全自主智慧財產權的資訊安全高科技企業。是國內最具實力的資訊安全產品、安全服務解決方案的領航企業之一。

公司總部位於北京市中關村軟體園啟明星辰大廈,公司員工近4000人,研發團隊1200餘人, 技術服務團隊1300餘人。在全國各省、市、自治區設立分支機構六十多個,擁有覆蓋全國的銷售體系、渠道體系和技術支持體系。公司於2010年6月23日在深圳中小板掛牌上市。(股票程式碼:002439)

多年來,啟明星辰致力於提供具有國際競爭力的自主創新的安全產品和最佳實踐服務,幫助客戶全面提升其IT基礎設施的安全性和生產效能,為打造和提升國際化的民族資訊安全產業領軍品牌而不懈努力。

關於我們

啟明星辰安全應急響應中心主要針對重要安全漏洞的預警、跟蹤和分享全球最新的威脅情報和安全報告。

關注以下公眾號,獲取全球最新安全資訊:

相關文章

「C# 不停止膨脹,必將走向滅亡」

「C# 不停止膨脹,必將走向滅亡」

【CSDN 編者按】程式語言更新的頻率是越快越好,還是越慢越好,不斷增加的功能是否真的就是開發者想要的? 原文連結:https://medi...

2022年10大最酷網路安全新品

2022年10大最酷網路安全新品

2022年的網路安全領域新品迭出,從下一代網路防火牆到最新的安全訪問服務邊緣(SASE),各大安全廠商都在全力滿足使用者對創新網路安全技術不...

2023年SASE技術應用和發展趨勢預測

2023年SASE技術應用和發展趨勢預測

安全訪問服務邊緣(SASE)一直是研究機構Gartner最青睞的新技術之一,在其給出的SASE定義中,明確規定了完整的SASE方案應該結合S...

【風險通告】OWASP 2019 API安全Top10

【風險通告】OWASP 2019 API安全Top10

0x00 風險概述 眾所周知,網路安全已成為大多陣列織的頭等大事,尤其是那些處理敏感客戶資訊的行業。隨著這些企業致力於構建穩健的安全策略,因...