AKOB

Agentúra Kybernetickej Ochrany a Bezpečnosti

Nahlásiť incident
Požiadajte o konzultáciu

Kybernetické útoky využívajúce staré zraniteľnosti v routeroch D-Link: Botnety FICORA a CAPSAICIN vo veľkom zneužívajú tieto slabiny

V poslednej dobe došlo k nárastu kybernetických útokov využívajúcich staré zraniteľnosti v routeroch D-Link, pričom dve botnety, FICORA a CAPSAICIN, aktívne zneužívajú tieto slabiny.

Výskumníci zo spoločnosti Fortinet v rámci svojej laboratórnej analýzy FortiGuard Labs zaznamenali nárast aktivity týchto botnetov v októbri a novembri 2024, čo poukazuje na perzistentnú hrozbu, ktorú predstavujú neaktualizované a neopravované sieťové zariadenia.

Zneužívanie viac ako desaťročných zraniteľností

Tieto botnety zneužívajú zraniteľnosti v rozhraní protokolu HNAP (Home Network Administration Protocol) routerov D-Link, čo útočníkom umožňuje vzdialene vykonávať škodlivé príkazy.

Zraniteľnosti, ako sú CVE-2015-2051, CVE-2019-10891, CVE-2022-37056, a CVE-2024-33112, boli zverejnené pred rokmi, no stále predstavujú významné riziko kvôli rozšírenému používaniu zariadení, ktoré neboli opravené.

Napriek tomu, že sú dostupné opravy pre mnohé z týchto zraniteľností, pokračujúca závislosť od zastaraného hardvéru vytvorila príležitosť pre kyberzločincov, aby nasadili malvér na veľké množstvo zariadení.

Časová os zneužívania

Botnet FICORA, ktorý je variantom známeho malvéru Mirai, využíva brute-force techniky na kompromitáciu zariadení a pokročilú šifrovanie (ChaCha20) na skrytie svojej konfigurácie a detailov príkazovo-kontrolného servera (C2). Je schopný vykonávať distribuované útoky typu DDoS pomocou rôznych protokolov, vrátane UDP a TCP.

Zatiaľ čo botnet CAPSAICIN, založený na Kaiten malvéri, uprednostňuje rýchlu implementáciu a eliminuje konkurenčný malvér na infikovaných zariadeniach, aby si udržal kontrolu.

FortiGuard Labs identifikovali, že botnet FICORA bol šírený zo serverov umiestnených v Holandsku (napr. IP adresy 185[.]191[.]126[.]213 a 185[.]191[.]126[.]248). Útoky mali globálny charakter, čo naznačuje, že neboli cielené, ale ide o príležitostné kampane zamerané na zneužívanie zraniteľných zariadení.

Obe botnety zdôrazňujú nebezpečenstvá vyplývajúce zo zastaraných sieťových zariadení. Aj keď tieto zraniteľnosti sú známe už roky, mnoho organizácií neimplementovalo opravy alebo nezmenilo zariadenia, ktoré už nedostávajú bezpečnostné aktualizácie. Tento nedostatok pozornosti umožnil útočníkom opakovane zneužívať tieto slabiny.

Ako sa chrániť

Experti odporúčajú organizáciám a jednotlivcom prijať proaktívne opatrenia na zmiernenie týchto rizík:

  • Pravidelné aktualizácie: Uistite sa, že všetky routery a sieťové zariadenia majú najnovšie verzie firmvéru.
  • Výmena zariadení: Nahradiť zastaraný (EOL) hardvér, ktorý už neobdrží bezpečnostné aktualizácie.
  • Monitorovanie siete: Implementovať komplexné monitorovacie riešenia na detekciu neobvyklých vzorcov prevádzky naznačujúcich aktivitu botnetu.
  • Obmedzenie prístupu: Zakázať vzdialenú správu zariadení, pokiaľ nie je nevyhnutné, a používať silné, unikátne heslá na prístup k zariadeniam.

Organizácie musia prioritne aktualizovať alebo nahradiť zraniteľné zariadenia, aby sa vyhli neúmyselnému zapojeniu do kampaní kyberzločincov, ktoré využívajú botnety.