mer. Sep 28th, 2022

Le botnet Mirai, surnommé Moobot, a récemment commencé à cibler les routeurs D-Link pour étendre son armée DDoS. Des mises à jour sont disponibles.

Découvert par les analystes de Fortinet en décembre 2021, le botnet Moobot, une variante du botnet Mirai, a lancé une nouvelle vague d’attaques. Au lieu de cibler les caméras Hikvision pour constituer son armée DDoS, les attaquants ciblent désormais les routeurs D-Link vulnérables.

Des chercheurs de l’unité 42 de Palo Alto Network ont ​​évalué les vulnérabilités critiques que Moobot cible cette fois-ci. Il semble utiliser un mélange d’anciens et de nouveaux exploits. Ils ciblent essentiellement quatre vulnérabilités dans les routeurs D-Link :

CVE-2015-2051 : Vulnérabilité d’exécution de la commande d’en-tête SOAPAction de D-Link HNAP
CVE-2018-6530 : Vulnérabilité d’exécution de code à distance de l’interface SOAP de D-Link
CVE-2022-26258 : Vulnérabilité d’exécution de commandes à distance D-Link
CVE-2022-28958 : Vulnérabilité d’exécution de commandes à distance D-Link

Unité 42

D-Link a déjà publié des mises à jour de sécurité, mais elles sont loin d’être distribuées à tous les utilisateurs. Les propriétaires d’un routeur D-Link sont donc encouragés à le mettre à jour dès que possible. Car selon Unit 42, les vulnérabilités utilisées par Moobot »une faible complexité d’attaque mais des impacts critiques sur la sécurité pouvant conduire à l’exécution de code à distance.» En particulier, les deux derniers écarts n’ont été connus qu’en mars et mai de cette année. En conséquence, de nombreux utilisateurs ne les ont pas encore fermés.

Les botnets peuvent être loués pour les attaques DDoS

Les attaquants utilisent ultérieurement les routeurs piratés ainsi que les caméras Hikvision pour lancer des attaques DDoS sur diverses cibles. Les botnets comme Moobot sont souvent loués à d’autres cybercriminels.

Voir aussi  Protection des données iOS : Instagram et Facebook lisent quand même

Quiconque souhaite mettre un service en ligne à genoux et provoquer des temps d’arrêt peut le faire via un tel service. Si le botnet est suffisamment grand, de nouvelles attaques record sont créées, comme le cloud de Google récemment repoussé.

Cependant, le malware responsable de la construction du botnet Moobot laisse des traces. Si vous possédez un routeur D-Link qui effectue des changements de configuration inexplicables, devient anormalement chaud ou offre une vitesse Internet réduite, vous devriez y regarder de plus près et prendre des mesures si nécessaire.

La réinitialisation de tous les paramètres, l’installation des dernières mises à jour de sécurité et la désactivation de l’accès à distance à l’interface d’administration du routeur peuvent aider. Il va sans dire que les mots de passe doivent toujours être modifiés.