利用D-Link路由器漏洞的Mirai变种MooBot僵尸网络

Mirai僵尸网络的一个变种，称为MooBot，通过利用多个漏洞，将易受攻击的D-Link设备加入拒绝服务机器人大军。

Palo Alto Networks Unit 42在周二的一份报告中表示：“如果这些设备受到破坏，它们将完全由攻击者控制，攻击者可以利用这些设备进行进一步的攻击，如分布式拒绝服务（DDoS）攻击”。

2019年9月，奇虎360的Netlab团队首次披露了MooBot，此前该公司已将利林数字录像机和海康威视视频监控产品作为目标，以扩大其网络。

在2022年8月初第42单元发现的最新一波攻击中，D-Link设备中的四个不同缺陷，无论是旧的还是新的，都为MooBot样本的部署铺平了道路。其中包括：

• CVE-2015-2051（CVSS评分：10.0）-D-Link HNAP SOAPAction标头命令执行漏洞
• CVE-2018-6530（CVSS评分：9.8）-D-Link SOAP接口远程代码执行漏洞
• CVE-2022-26258（CVSS评分：9.8）-D-Link远程命令执行漏洞
• CVE-2022-28958（CVSS评分：9.8）-D-Link远程命令执行漏洞

成功利用上述缺陷可能导致远程代码执行和从远程主机检索MooBot有效负载，然后远程主机解析来自命令和控制（C2）服务器的指令，对特定IP地址和端口号发起DDoS攻击。

强烈建议D-Link设备的客户应用公司发布的补丁和升级，以缓解潜在威胁。

研究人员说：“这些漏洞攻击复杂度较低，但具有严重的安全影响，可能导致远程代码执行”。“一旦攻击者以这种方式获得控制权，他们就可以通过将新受危害的设备纳入其僵尸网络来进行进一步的攻击，如DDoS”。