Nuove botnet sfruttano vecchie vulnerabilità D-Link

Durante ottobre e novembre 2024, FortiGuard Labs ha osservato un aumento dell’attività di due botnet, FICORA e CAPSAICIN. Queste botnet sfruttano vulnerabilità nei dispositivi D-Link, alcune delle quali risalgono a quasi un decennio fa, come CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112.

Botnet FICORA

La botnet FICORA, una variante del malware Mirai, utilizza uno script shell chiamato “multi” per scaricare ed eseguire il suo payload. Questo script si adatta a varie architetture Linux e utilizza l’algoritmo di crittografia ChaCha20 per codificare la sua configurazione, inclusi i dettagli del server di comando e controllo C2. Gli attacchi della botnet FICORA sono stati originati principalmente da server nei Paesi Bassi e hanno colpito sistemi a livello globale (Italia compresa).

Fonte FortiGuard Labs

Il malware botnet FICORA presenta una funzione di attacco brute-force contenente un elenco hard-coded di nomi utente e password e funzionalità per condurre attacchi distributed denial-of-service (DDoS) utilizzando protocolli UDP, TCP e DNS.

Botnet CAPSAICIN

La botnet CAPSAICIN (che sembra essere una variante basata sulle botnet del gruppo Keksec) invece ha mostrato un’attività intensa solo per due giorni, il 21 e 22 ottobre 2024, principalmente nei paesi dell’Asia orientale. Questa botnet utilizza uno script downloader “bins.sh” e rilascia processi botnet compatibili con varie architetture Linux per attacchi DDoS. CAPSAICIN inoltre stabilisce un socket di connessione con il suo server di comando e controllo e attende comandi per il tracciamento dell’host.

Fonte FortiGuard Labs

Dispositivi interessati

Le vulnerabilità sfruttate da queste botnet si trovano nell’interfaccia HNAP (Home Network Administration Protocol) dei dispositivi D-Link, permettendo agli attaccanti di eseguire comandi dannosi da remoto. I dispositivi specifici colpiti includono i router D-Link DIR-645, DIR-806, GO-RT-AC750 e DIR-845L.

Protezione

Nonostante siano ben documentate, queste falle continuano a rappresentare un rischio significativo a causa della continua presenza di dispositivi non aggiornati. Per proteggersi è pertanto essenziale mantenere aggiornato il firmware dei dispositivi (se possibile) e sostituirli quando fuori produzione (EOL), oltreché modificare le impostazioni di sicurezza predefinite.

Su Salvatore Lombardo 350 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.