Palo Alto Networksは9月6日(米国時間)、「Mirai Variant MooBot Targeting D-Link Devices」において、D-Link製ルータを標的とするMiraiボットネットの亜種を発見したと伝えた。ルータが侵害された場合、サイバー犯罪者によって完全に制御され、分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)などのさらなる攻撃の踏み台にされる危険性がある。
2022年8月上旬、「MooBot」と呼ばれるMiraiの亜種ボットネットが複数のエクスプロイトを利用して、脆弱なD-Link製ルータをボットネットに取り込むことがわかった。悪用されるリスクがある脆弱性は次のとおり。
- CVE-2015-2051: D-Link HNAP SOAPAction ヘッダコマンド実行の脆弱性
- CVE-2018-6530: D-Link SOAP Interface のリモートコード実行の脆弱性
- CVE-2022-26258: D-Link のリモートコマンド実行の脆弱性
- CVE-2022-28958: D-Link のリモートコマンド実行の脆弱性
これら脆弱性により、リモートでコードが実行され、リモートホストからMooBotペイロードが取得されてしまう。MooBotボットネットに感染すると、コマンド&コントロール(C2: Command and Control)サーバと接続し、特定のIPアドレスとポート番号にDDoSを仕掛ける可能性があるという。
同社のセキュリティコンサルティングチーム 「Unit 42」の研究者は、引き起こされる攻撃は複雑ではないが、セキュリティに重大な影響を与えると警告している。D-Link製ルータを利用している場合、同社が提供しているパッチやアップグレードを適用することが強く望まれている。