La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones avisa de la publicación esta semana de una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades críticas diferentes en dispositivos D-Link.
Se ha descubierto que la botnet MooBot está aprovechando vulnerabilidades no parcheadas en routers D-Link para incrementar los dispositivos controlados.
MooBot, revelado por primera vez por el equipo Netlab de Qihoo 360 en septiembre de 2019, se centró previamente en las grabadoras de video digital LILIN y los productos de videovigilancia de Hikvision para expandir su red. Hoy el malware ha actualizado su alcance de orientación, que es típico de las botnets que buscan grupos sin explotar de dispositivos vulnerables que puedan atrapar.
A principios del pasado mes de agosto, la Unidad 42 de Palo Alto Networks observó una serie de ataques con intentos de explotación de hasta cuatro vulnerabilidades en dispositivos D-Link, tanto antiguos como nuevos:
El proveedor ha lanzado actualizaciones de seguridad para abordar estas vulnerabilidades, pero no todos los usuarios han aplicado los parches todavía, especialmente los dos últimos, que se dieron a conocer en marzo y mayo de este año.
La explotación exitosa de alguna de las vulnerabilidades anteriores podría conducir a la ejecución remota de comandos o código y permitir la recuperación de la carga útil de MooBot desde un servidor remoto. A partir de aquí, el dispositivo permanecería a la espera de instrucciones del servidor de comando y control (C2) para ejecutar, por ejemplo, ataques distribuidos de denegación de servicio (DDoS).

Esquema de la campaña. Fuente: unit42.paloaltonetworks.com
Los usuarios de dispositivos D-Link comprometidos pueden notar caídas en la velocidad de Internet, falta de respuesta, sobrecalentamiento del enrutador o cambios inexplicables en la configuración de DNS, todos signos comunes de infecciones de botnet.
Debido a la criticidad, rogamos encarecidamente que se sea especialmente diligente en su resolución. Llamamos vuestra atención sobre la urgencia de aplicar las recomendaciones indicadas y la adopción de medidas para hacer frente a las vulnerabilidades.
La Unidad de Seguridad TIC de la Subdirección de Tecnologías de la Información y Comunicaciones recomienda encarecidamente aplicar los siguientes pasos, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos:
Aplicar las actualizaciones de seguridad y parches disponibles en la página oficial del fabricante para mitigar potenciales amenazas.
Para cualquier otra duda o consulta al respecto, puede ponerse en contacto con ustic.stic.sspa@juntadeandalucia.es.
Gracias por vuestra atención.
Subdirección de Tecnologías de la Información y Comunicaciones
Servicio Andaluz de Salud