Das Mirai-Botnetz unter dem Namen Moobot nimmt neuerdings D-Link-Router ins Visier, um seine DDoS-Armee zu erweitern. Updates sind verfügbar.
Das im Dezember 2021 von Analysten von Fortinet entdeckte Botnetz Moobot, eine Variante des Mirai-Botnetzes, hat eine neue Angriffswelle gestartet. Statt wie damals Hikvision-Kameras ins Visier zu nehmen, um seine DDoS-Armee aufzubauen, zielen die Angreifer nun auf anfällige D-Link-Router ab.
Vier Schwachstellen in D-Link-Routern öffnen Moobot die Tür
Forscher von Unit 42 von Palo Alto Network haben evaluiert, welche kritischen Schwachstellen Moobot dieses Mal angreift. Es nutzt offenbar eine Mischung aus alten und neuen Exploits. Diese haben es im Kern auf vier Sicherheitslücken in D-Link-Routern abgesehen:
CVE-2015-2051: D-Link HNAP SOAPAction Header Command Execution Vulnerability
Unit 42
CVE-2018-6530: D-Link SOAP Interface Remote Code Execution Vulnerability
CVE-2022-26258: D-Link Remote Command Execution Vulnerability
CVE-2022-28958: D-Link Remote Command Execution Vulnerability
D-Link hat bereits Sicherheitsupdates veröffentlicht, die jedoch noch lange nicht an alle Anwender verteilt sind. Besitzer eines D-Link-Routers sind daher dazu angehalten, diesen möglichst zeitnah zu aktualisieren. Denn laut Unit 42 haben die von Moobot genutzten Schwachstellen „eine geringe Angriffskomplexität, aber kritische Sicherheitsauswirkungen, die zur Remotecodeausführung führen können.“ Insbesondere die letzten beiden Lücken wurden erst im März und Mai dieses Jahres bekannt. Sie sind infolgedessen bei vielen Anwendern noch nicht geschlossen.
Botnetze lassen sich für DDoS-Angriffe mieten
Die Angreifer nutzen die gekaperten Router ebenso wie einst die Hikvision-Kameras zu einem späteren Zeitpunkt, um darüber DDoS-Angriffe auf verschiedene Ziele zu befeuern. Oftmals werden Botnetze wie Moobot auch an andere Cyberkriminelle vermietet.
Wer immer einen Online-Dienst in die Knie zwingen und Ausfallzeiten provozieren möchte, kann dies durch einen solchen Service tun. Ist das Botnetz groß genug, entstehen dabei auch neue Rekordangriffe, wie Googles Cloud erst kürzlich einen abgewehrt hatte.
Besitzer von D-Link-Routern können sich vor Moobot schützen
Die für den Aufbau des Moobot-Botnetzes zuständige Schadsoftware hinterlässt jedoch Spuren. Wer einen D-Link-Router sein Eigen nennt, der unerklärliche Konfigurationsänderungen vornimmt, sich ungewöhnlich stark erhitzt oder eine verringerte Internetgeschwindigkeit liefert, der sollte einmal etwas genauer hinsehen und gegebenenfalls Maßnahmen einleiten.
Das Zurücksetzen sämtlicher Einstellungen, die Installation neuester Sicherheitsupdates sowie die Deaktivierung des Fernzugriffs auf die Administrationsoberfläche des Routers können Abhilfe schaffen. Dass Passwörter grundsätzlich geändert werden sollten, versteht sich von selbst.
