Les cybercriminels exploitent les vulnérabilités des routeurs D-Link non corrigés pour propager des réseaux de zombies. Bien que ces faiblesses soient connues depuis des années, elles sont toujours activement exploitées.
Fortinet met en garde contre la montée en puissance de deux réseaux de zombies appelés Ficora et Capsaïcine. Les criminels à l’origine de ces botnets exploitent les vulnérabilités des routeurs D-Link obsolètes pour les propager. Parmi les numéros d’appareils qui ont déjà été « recrutés » dans le botnet, citons DIR-645, DIR-845L et GO-RT-AC750.
Il s’agit de variantes des réseaux de zombies Mirai et Kaiten connus dans le monde de la sécurité. Ces botnets ont un impact mondial : le botnet Ficora a déjà été trouvé sur des serveurs d’entreprises néerlandaises. Le botnet Capsaïcine est principalement actif en Asie du Sud-Est.
HNAP
Les recherches menées par FortiGuard Labs ont révélé un pic d’activité des deux botnets en octobre et novembre 2024. Les vulnérabilités comprennent le protocole d’administration du réseau domestique (HNAP), qui permet aux attaquants d’exécuter des commandes à distance. Les CVE associés à cette vulnérabilité remontent à 2015.
La campagne du botnet Ficora est diffusée par le biais d’un script de téléchargement qui s’attaque à diverses architectures Linux, telles que ARM, MIPS et PowerPC. Ce script élimine les processus d’autres logiciels malveillants et active une série d’attaques DDoS. Le logiciel malveillant utilise des attaques par force brute avec des noms d’utilisateur et des mots de passe codés en dur.
Capsaïcine vise des cibles similaires, mais utilise des techniques différentes pour établir sa connexion de commande et de contrôle et exécuter les instructions de l’attaque. Les deux campagnes sont décrites en détail dans un blog.
Firmware obsolète
Ces campagnes démontrent une fois de plus les risques liés à l’utilisation de microprogrammes obsolètes. Les vulnérabilités exploitées sont connues depuis des années et les correctifs nécessaires sont également disponibles. Les entreprises qui continuent à utiliser du matériel obsolète risquent fort d’être victimes de ce type d’attaques.
Les vieux routeurs sont une cible populaire pour les cybercriminels, quelle que soit la marque de votre routeur. Des mises à jour régulières du micrologiciel et la surveillance des périphériques réseau réduisent les risques que votre routeur soit la prochaine cible.