Botnety Ficora a Capsaicin zneužívají zastaralé routery D-Link

Zpět na blog

Dva botnety známé jako Ficora a Capsaicin využívají bezpečnostních mezer v zastaralých routerech značky D-Link, které buď dosáhly konce životnosti (EOL), nebo běží na zastaralém firmwaru. Cílem těchto útoků jsou modely jako například DIR-645, DIR-806, GO-RT-AC750 a DIR-845L, které často využívají jednotlivci i firmy

Botnety zneužívají známé zranitelnosti:

– CVE-2015-2051

– CVE-2019-10891

– CVE-2022-37056

– CVE-2024-33112

Útočníci po kompromitaci zařízení využívají slabiny v rozhraní HNAP (Home Network Administration Protocol), konkrétně akci GetDeviceSettings, k provedení škodlivých příkazů. Výsledkem je, že botnety mohou krást citlivá data, provádět DDoS útoky, spouštět shell skripty.

Ficora: Novější varianta Mirai botnetu

Ficora je variantou známého botnetu Mirai, zaměřená přímo na slabiny routerů D-Link. Podle dat společnosti Fortinet má širokou geografickou distribuci s častým výskytem v Japonsku a USA.

Klíčové schopnosti zahrnují DdoS útoky, UDP flooding, TCP flooding a DNS amplifikaci.

Šíření probíhá použitím shell skriptu „multi“ pro stahování a nasazení škodlivého kódu přes wget, curl, ftpget a tftp.

Brute force útoky: Využití pevně zadaných přihlašovacích údajů k napadení dalších zařízení.

Capsaicin: Varianta botnetu Kaiten

Capsaicin je považován za dílo skupiny Keksec, která stojí za dalšími malware rodinami, jako je EnemyBot. Tento botnet cílí především na východoasijské země a jeho aktivita byla zaznamenána během dvoudenního období v říjnu.

K infikaci používá downloader skript „bins.sh“ k nasazení binárních souborů pro různé architektury (např. arm, mips, sparc, x86).

Zajímavou schopností je detekce a deaktivace dalších botnety aktivní na stejném zařízení.

DdoS útoky provádí podobně jako Ficora, ale jsou doplněné o exfiltraci informací a odesílání na C2 servery.

Jak se chránit před botnety?

– Zajistěte, aby routery měly nainstalovanou nejnovější verzi firmware, která obsahuje záplaty na známé zranitelnosti. Pokud je zařízení označeno jako EOL (end-of-life), okamžitě jej nahraďte modelem s aktuální podporou.

– Změňte výchozí přihlašovací údaje za silné heslo.

– Deaktivujte vzdálený přístup, pokud není nezbytný.

– Nasazení bezpečnostních nástrojů pro detekci a blokování škodlivého provozu pomůže odhalit neobvyklé aktivity.

Útoky na zastaralé routery D-Link podtrhují potřebu pravidelné údržby a výměny zařízení. Firmy i jednotlivci musí věnovat zvýšenou pozornost ochraně síťových zařízení, protože kompromitace může vést nejen k finančním ztrátám, ale také ke ztrátě důvěry zákazníků. Investice do zabezpečení je investicí do budoucnosti.

Zdroj: Bleepingcomputer.com

Zdroj ilustračního obrázku: TechieTech Tech on Unsplash

16. 1. 2025