Vulnerabilidades antigas da D-Link utilizadas para ataques globais

Botnets FICORA e Kaiten exploram vulnerabilidades antigas da D-Link para ataques globais

A segurança cibernética continua sendo um desafio significativo, especialmente com a exploração persistente de vulnerabilidades antigas em dispositivos de rede amplamente utilizados. Recentemente, pesquisadores de segurança têm alertado para a intensificação de atividades maliciosas envolvendo dois botnets baseados em D-Link: o FICORA e o CAPSAICIN, também conhecido como Kaiten. Ambos os botnets aproveitam vulnerabilidades antigas em roteadores D-Link para conduzir ataques globais, afetando tanto grandes organizações quanto usuários domésticos.

 

Botnet FICORA: exploração de vulnerabilidades HNAP em roteadores D-Link

O botnet FICORA, uma variação do Mirai, continua a explorar uma falha conhecida no protocolo HNAP (Home Network Administration Protocol) de roteadores D-Link. A principal vulnerabilidade explorada é a execução de comandos maliciosos remotamente via a função GetDeviceSettings no HNAP.

  • Vulnerabilidades associadas:
    • CVE-2015-2051
    • CVE-2019-10891
    • CVE-2022-37056
    • CVE-2024-33112
  • Táticas utilizadas pelo botnet:
    • O FICORA se conecta a servidores C2 (Command & Control) específicos para baixar payloads de malwares, utilizando comandos como wget, ftpget, curl e tftp para obter arquivos binários para várias arquiteturas Linux.
    • Uma função de força bruta integrada tenta derrubar as credenciais padrão de login em roteadores vulneráveis, aproveitando listas codificadas com nomes de usuário e senhas comuns.

Segundo os pesquisadores da FortiGuard Labs, os ataques FICORA têm uma presença global, atingindo diversos países e organizações.

 

Botnet CAPSAICIN (Kaiten): foco em áreas da Ásia Oriental

O botnet CAPSAICIN, uma variante do Kaiten, foca principalmente em territórios da Ásia Oriental, como Japão e Taiwan. Embora os métodos sejam similares, há algumas diferenças nas táticas e nos endereços IP utilizados.

  • Endereço de C2 utilizado pelo CAPSAICIN:

    • 87.10.220[.]221

  • Funções e comandos usados pelo CAPSAICIN:

    • PRIVMSG: Permite o envio de comandos para dispositivos comprometidos.
    • GETIP: Obtém o endereço IP da interface da vítima.
    • CLEARHISTORY: Apaga o histórico de comandos.
    • FASTFLUX: Configura um proxy em outro IP para manipular o tráfego.
    • RNDNICK: Randomiza os nomes de host vítimas.
    • IRC: Envia mensagens para o servidor de comando.
    • SH: Executa comandos shell.
    • INSTALL: Instala binários maliciosos em “/var/bin”.
    • KILL: Termina sessões maliciosas.
    • STORM-ATTACKS: Realiza diferentes ataques de negação de serviço (DDoS) usando UDP, TCP, DNS e ICMP.

A CAPSAICIN se conecta ao servidor C2 “192.110.247[.]46” e envia informações do sistema operacional e o apelido atribuído pelos malwares de volta a esse servidor.

FICORA and Kaiten Botnets

 

Impacto e persistência dos ataques

Apesar de as vulnerabilidades exploradas pelos botnets FICORA e CAPSAICIN terem sido conhecidas e corrigidas há quase uma década, os ataques continuam ativos em todo o mundo.

  • FICORA: Os ataques desse botnet continuam afetando diversas regiões globais, com foco em roteadores D-Link desatualizados que ainda possuem falhas relacionadas ao HNAP.
  • CAPSAICIN: Foca em regiões específicas da Ásia, demonstrando atividade intensa em outubro de 2024.

Os pesquisadores destacam que a exploração persistente dessas vulnerabilidades pode ser atribuída à falta de atualização de firmware em dispositivos vulneráveis, bem como à ausência de uma vigilância eficaz.

 

Recomendações para mitigação

Tendo em vista a persistência e os danos causados pelos botnets FICORA e CAPSAICIN, especialistas recomendam as seguintes ações:

  1. Atualização Regular de Firmware:
    • As atualizações de firmware são essenciais para corrigir falhas conhecidas, como as relacionadas ao protocolo HNAP em roteadores D-Link.
  2. Monitoramento Ativo:
    • Implementar soluções de monitoramento para detectar e bloquear atividades maliciosas em tempo real.
  3. Configuração de Controles de Acesso:
    • Desativar serviços desnecessários e ajustar as configurações de acesso para limitar a exposição a ataques.
  4. Educação e Treinamento:
    • Treinar equipes de TI e usuários finais para reconhecer sinais de atividades suspeitas e agir preventivamente.

 

Conclusão

Os botnets FICORA e CAPSAICIN continuam a explorar vulnerabilidades antigas em roteadores D-Link, demonstrando como problemas de segurança cibernética podem persistir, mesmo após correções terem sido lançadas. A manutenção contínua da segurança, o monitoramento eficaz e a aplicação de atualizações regulares são cruciais para mitigar esses riscos. Empresas e usuários domésticos devem estar atentos às falhas conhecidas e garantir que seus sistemas estejam protegidos contra essas ameaças persistentes.

 

Fonte e imagens: https://thehackernews.com/2024/12/ficora-and-kaiten-botnets-exploit-old-d.html