Uočen je porast sajber napada koji iskorištavaju zastarjele ranjivosti u D-Link ruterima, a dva botneta, FICORA i CAPSAICIN, aktivno iskorištavaju ove slabosti.
Istraživači iz Fortinetovog FortiGuard Labs-a primijetili su nagli porast aktivnosti ovih botneta tokom oktobra i novembra 2024. godine, naglašavajući stalnu prijetnju koju predstavljaju zastarjeli i nezakrpljeni mrežni uređaji.
Eksploatacija decenijskih ranjivosti
Botneti iskorištavaju nedostatke u interfejsu protokola za administraciju kućne mreže (HNAP) D-Link rutera, omogućavajući udaljenim napadačima da izvrše zlonamerne komande.
Ove ranjivosti, praćene pod CVE identifikatorima kao što su CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 i CVE-2024-33112, otkrivene su prije mnogo godina, ali i dalje predstavljaju značajan rizik zbog široke upotrebe unpatch uređaja.
Unatoč tome što su zakrpe dostupne za mnoge od ovih nedostataka, kontinuirano oslanjanje na naslijeđeni hardver stvorilo je priliku za sajber kriminalce da implementiraju maliciozni softver u velikom obimu.
FICORA botnet, varijanta malicioznog softvera Mirai, koristi tehnike brutalne sile da narušava uređaje i koristi naprednu enkripciju (ChaCha20) da prikrije detalje o svojoj konfiguraciji i komandi i kontroli (C2) . U stanju je da pokrene distribuisane napade uskraćivanja usluge (DDoS) koristeći više protokola, uključujući UDP i TCP.
U međuvremenu, CAPSAICIN botnet baziran na Kaitenu daje prioritet brzoj implementaciji i eliminiše konkurentni maliciozni softver na zaraženim uređajima kako bi održao kontrolu.
FortiGuard Labs je identifikovao da je FICORA botnet propagiran sa servera koji se nalaze u Holandiji (npr. IP-ovi 185[.]191[.]126[.]213 i 185[.]191[.]126[.]248). Napadi su bili globalne prirode, što sugeriše da nisu bili ciljani, već oportunističke kampanje usmjerene na iskorištavanje bilo kojeg ranjivog uređaja.
Oba botnet-a naglašavaju opasnosti koje predstavlja zastarjeli mrežni hardver. Iako su ranjivosti poznate godinama, mnoge organizacije nisu uspjele implementirati zakrpe ili zamijeniti uređaje na kraju životnog vijeka. Ovaj nemar je omogućio napadačima da više puta iskoriste ove slabosti.
Stručnjaci snažno savjetuju preduzećima i pojedincima da preduzmu proaktivne mjere za ublažavanje ovih rizika:
- Redovna ažuriranja: Uvjerite se da svi ruteri i mrežni uređaji imaju najnovije verzije firmvera.
- Zamjena uređaja: Zamijenite hardver na kraju životnog vijeka (EOL) koji više ne prima sigurnosna ažuriranja.
- Monitoring mreže: Implementirajte sveobuhvatna rješenja za praćenje kako biste otkrili neobične obrasce prometa koji ukazuju na aktivnost botneta.
- Ograničenja pristupa: Onemogućite funkcije daljinskog upravljanja osim ako je apsolutno neophodno i koristite jake, jedinstvene lozinke za pristup uređaju.
Izvor: CyberSecurityNews
