Durante ottobre e novembre 2024, FortiGuard Labs ha osservato un aumento dell’attività di due botnet, FICORA e CAPSAICIN. Queste botnet sfruttano vulnerabilità nei dispositivi D-Link, alcune delle quali risalgono a quasi un decennio fa, come CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112.
Botnet FICORA
La botnet FICORA, una variante del malware Mirai, utilizza uno script shell chiamato “multi” per scaricare ed eseguire il suo payload. Questo script si adatta a varie architetture Linux e utilizza l’algoritmo di crittografia ChaCha20 per codificare la sua configurazione, inclusi i dettagli del server di comando e controllo C2. Gli attacchi della botnet FICORA sono stati originati principalmente da server nei Paesi Bassi e hanno colpito sistemi a livello globale (Italia compresa).
Il malware botnet FICORA presenta una funzione di attacco brute-force contenente un elenco hard-coded di nomi utente e password e funzionalità per condurre attacchi distributed denial-of-service (DDoS) utilizzando protocolli UDP, TCP e DNS.
Botnet CAPSAICIN
La botnet CAPSAICIN (che sembra essere una variante basata sulle botnet del gruppo Keksec) invece ha mostrato un’attività intensa solo per due giorni, il 21 e 22 ottobre 2024, principalmente nei paesi dell’Asia orientale. Questa botnet utilizza uno script downloader “bins.sh” e rilascia processi botnet compatibili con varie architetture Linux per attacchi DDoS. CAPSAICIN inoltre stabilisce un socket di connessione con il suo server di comando e controllo e attende comandi per il tracciamento dell’host.
Dispositivi interessati
Le vulnerabilità sfruttate da queste botnet si trovano nell’interfaccia HNAP (Home Network Administration Protocol) dei dispositivi D-Link, permettendo agli attaccanti di eseguire comandi dannosi da remoto. I dispositivi specifici colpiti includono i router D-Link DIR-645, DIR-806, GO-RT-AC750 e DIR-845L.
Protezione
Nonostante siano ben documentate, queste falle continuano a rappresentare un rischio significativo a causa della continua presenza di dispositivi non aggiornati. Per proteggersi è pertanto essenziale mantenere aggiornato il firmware dei dispositivi (se possibile) e sostituirli quando fuori produzione (EOL), oltreché modificare le impostazioni di sicurezza predefinite.