Cybercriminelen maken gebruik van kwetsbaarheden in ongepatchte D-Link-routers om botnets te verspreiden. Ondanks dat de zwakheden al jaren bekend zijn, worden ze nog steeds actief uitgebuit.
Fortinet waarschuwt voor de opmars van twee botnets genaamd Ficora en Capsaicin. De criminelen achter de botnets misbruiken kwetsbaarheden in verouderde D-Link-routers om de botnets te verspreiden. Enkele apparaatnummers die al zijn ‘gekruteerd’ in het botnet, zijn DIR-645, DIR-845L en GO-RT-AC750.
Het gaat om varianten van de in de beveiligingswereld bekende Mirai- en Kaiten-botnets. De botnets hebben een wereldwijde impact: het Ficora-botnet is al aangetroffen op servers van Nederlandse bedrijven. Het Capsaicin-botnet is voornamelijk actief in Zuid-Oost-Azië.
HNAP
Onderzoek van FortiGuard Labs zagen een piek in activiteit van beide botnets in oktober en november 2024. De kwetsbaarheden betreffen onder andere het HNAP-protocol (Home Network Administration Protocol), waarmee aanvallers op afstand opdrachten kunnen uitvoeren. De CVE’s die hieraan verbonden zijn, dateren al van 2015.
De Ficora-botnetcampagne wordt verspreid via een downloader-script dat verschillende Linux-architecturen aanvalt, zoals ARM, MIPS en PowerPC. Dit script elimineert andere malwareprocessen en activeert een reeks DDoS-aanvallen. De malware maakt gebruik van brute force-aanvallen met hardcoded gebruikersnamen en wachtwoorden.
Capsaicin richt zich op soortgelijke doelwitten, maar gebruikt andere technieken om zijn command-and-control-verbinding op te zetten en aanvalsinstructies uit te voeren. Beide campagnes worden uitvoerig beschreven in een blog.
Verouderde firmware
Deze campagnes tonen nog maar eens de risico’s aan van verouderde firmware in gebruik te hebben. De kwetsbaarheden die worden uitgebuit, zijn al jarenlang bekend en de nodige patches zijn ook beschikbaar. Bedrijven die verouderde hardware blijven gebruiken, lopen een hoog risico om slachtoffer te worden van dit soort aanvallen.
Oude routers zijn een populair doelwit voor cybercriminelen, ongeacht welk merk router je hebt. Regelmatige firmware-updates en monitoring van netwerkapparatuur verkleinen de kans dat jouw router het volgende doelwit is.