Oude kwetsbaarheden in D-Link-routers uitgebuit door botnets

Hiervoor waarschuwt Fortinet. Het gaat om FICORA en CAPSAICIN, die in oktober en november 2024 aanzienlijk meer activiteit lieten zien. Zij maken gebruik van kwetsbaarheden die al zo'n tien jaar in de verouderde routers aanwezig zijn. De botnets richten zich wereldwijd op apparaten, waarbij "FICORA" wijdverspreide activiteit vertoont en "CAPSAICIN" zich in Oost-Azië over een kort tijdsbestek concentreert.

FICORA

Het FICORA-botnet, een variant van Mirai, maakt gebruik van een downloader-script genaamd "multi" om malware te verspreiden over meerdere Linux-architecturen. Het gebruikt brute-force technieken met hardcoded inloggegevens en beëindigt concurrerende processen om geïnfecteerde apparaten te domineren.

De payload bevat DDoS-aanvalscapaciteiten via de protocollen UDP, TCP en DNS. De configuratie van het botnet, gecodeerd met het ChaCha20-encryptie-algoritme, bevat details zoals het domein van de command-and-control (C2) server en een unieke identifier, wat wijst op een verfijnd en persistent ontwerp.

CAPSAICIN

CAPSAICIN, afgeleid van de botnets van de Keksec-groep, maakt gebruik van een script genaamd 'bins.sh' om verschillende Linux-architecturen te targeten en maakt verbinding met zijn C2-server om systeemgegevens door te geven. Het voert ook DDoS-aanvallen uit en bevat functionaliteit om concurrerende botnets te beëindigen.

CAPSAICIN was in oktober korte tijd actief en daarbij gericht op Oost-Azië, wat wijst op een gerichte en agressieve strategie. Net als FICORA maakt het gebruik van verouderde D-Link-kwetsbaarheden om toegang te krijgen tot apparaten.

Fortinet adviseert organisaties regelmatig de firmware van apparaten bij te werken, netwerkverkeer te monitoren en gebruik te maken van trainingen en diensten voor het mitigeren van dergelijke dreigingen. Meer informatie is hier beschikbaar.