Botnety Ficora a Capsaicin zneužívají zastaralé routery D-Link
Zpět na blogDva botnety známé jako Ficora a Capsaicin využívají bezpečnostních mezer v zastaralých routerech značky D-Link, které buď dosáhly konce životnosti (EOL), nebo běží na zastaralém firmwaru. Cílem těchto útoků jsou modely jako například DIR-645, DIR-806, GO-RT-AC750 a DIR-845L, které často využívají jednotlivci i firmy
Botnety zneužívají známé zranitelnosti:
– CVE-2015-2051
– CVE-2019-10891
– CVE-2022-37056
– CVE-2024-33112
Útočníci po kompromitaci zařízení využívají slabiny v rozhraní HNAP (Home Network Administration Protocol), konkrétně akci GetDeviceSettings, k provedení škodlivých příkazů. Výsledkem je, že botnety mohou krást citlivá data, provádět DDoS útoky, spouštět shell skripty.
Ficora: Novější varianta Mirai botnetu
Ficora je variantou známého botnetu Mirai, zaměřená přímo na slabiny routerů D-Link. Podle dat společnosti Fortinet má širokou geografickou distribuci s častým výskytem v Japonsku a USA.
Klíčové schopnosti zahrnují DdoS útoky, UDP flooding, TCP flooding a DNS amplifikaci.
Šíření probíhá použitím shell skriptu „multi“ pro stahování a nasazení škodlivého kódu přes wget, curl, ftpget a tftp.
Brute force útoky: Využití pevně zadaných přihlašovacích údajů k napadení dalších zařízení.
Capsaicin: Varianta botnetu Kaiten
Capsaicin je považován za dílo skupiny Keksec, která stojí za dalšími malware rodinami, jako je EnemyBot. Tento botnet cílí především na východoasijské země a jeho aktivita byla zaznamenána během dvoudenního období v říjnu.
K infikaci používá downloader skript „bins.sh“ k nasazení binárních souborů pro různé architektury (např. arm, mips, sparc, x86).
Zajímavou schopností je detekce a deaktivace dalších botnety aktivní na stejném zařízení.
DdoS útoky provádí podobně jako Ficora, ale jsou doplněné o exfiltraci informací a odesílání na C2 servery.
Jak se chránit před botnety?
– Zajistěte, aby routery měly nainstalovanou nejnovější verzi firmware, která obsahuje záplaty na známé zranitelnosti. Pokud je zařízení označeno jako EOL (end-of-life), okamžitě jej nahraďte modelem s aktuální podporou.
– Změňte výchozí přihlašovací údaje za silné heslo.
– Deaktivujte vzdálený přístup, pokud není nezbytný.
– Nasazení bezpečnostních nástrojů pro detekci a blokování škodlivého provozu pomůže odhalit neobvyklé aktivity.
Útoky na zastaralé routery D-Link podtrhují potřebu pravidelné údržby a výměny zařízení. Firmy i jednotlivci musí věnovat zvýšenou pozornost ochraně síťových zařízení, protože kompromitace může vést nejen k finančním ztrátám, ale také ke ztrátě důvěry zákazníků. Investice do zabezpečení je investicí do budoucnosti.
Zdroj: Bleepingcomputer.com
Zdroj ilustračního obrázku: TechieTech Tech on Unsplash
16. 1. 2025