D-Link sérülékenységek kihasználása
A „Ficora” és a „Capsaicin” néven nyomon követett két botnet fokozott aktivitását azonosították D-Link routerek ellen, amelyek életciklusa lejárt, vagy elavult firmware-verziókat futtatnak. A célpontok listáján olyan népszerű, magánszemélyek és szervezetek által használt D-Link eszközök szerepelnek, mint a DIR-645, DIR-806, GO-RT-AC750 és DIR-845L. A kezdeti hozzáféréshez a két kártevő a CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 és CVE-2024-33112 ismert sérülékenységeket használja ki. Miután kompromittálták a sérülékeny eszközt, a támadók kihasználják a D-Link kezelőfelületének (HNAP) gyengeségeit, és a GetDeviceSettings műveleten keresztül rosszindulatú parancsokat hajtanak végre. A botnetek adatokat lophatnak és shell szkripteket hajthatnak végre.
A Ficora földrajzi elterjedtsége széleskörű, némileg Japánra és az Egyesült Államokra összpontosítva. A Ficora a Mirai botnet újabb változata, amelyet kifejezetten a D-Link eszközök hibáinak kihasználására alakítottak át. A Capsaicin a jelek szerint főként a kelet-ázsiai országok eszközeit veszi célba. A Capsaicin a Kaiten botnet egyik változata, és feltehetően az „EnemyBot” és más, Linux-eszközöket célzó kártevőcsaládokról ismert Keksec csoport által kifejlesztett malware.
A D-Link eszközökhöz való kezdeti hozzáférés megszerzése után a Ficora egy „multi” nevű shell scriptet használ a hasznos terhelés letöltéséhez és végrehajtásához többféle módszerrel, például wget, curl, ftpget és tftp segítségével. A rosszindulatú szoftver tartalmaz egy beépített brute force komponenst hard-coded hitelesítő adatokkal további Linux-alapú eszközök megfertőzéséhez, miközben több hardverarchitektúrát is támogat.
Általános tanácsként érdemes az alapértelmezett adminisztrátori hitelesítő adatokat egyedi és erős jelszavakra cserélni, és ha nincs rá szükség, a távoli hozzáférési interfészeket letiltani. A botnet-ekkel szemben a routereket és IoT-eszközöket a legújabb firmware-verzió telepítésével lehet megvédeni. Ha az eszköz elérte az élettartam végét, és már nem kap biztonsági frissítéseket, akkor le kell cserélni egy új modellre.
