Deux réseaux de robots malveillants s'attaquent aux routeurs D-Link obsolètes, en exploitant des failles de sécurité critiques pour prendre le contrôle des appareils et orchestrer des attaques DDoS d'envergure mondiale.
Les experts en cybersécurité de FortiGuard Labs ont identifié depuis quelques jours une recrudescence d'activités malveillantes ciblant certains modèles de routeurs D-Link. Deux botnets baptisés « Ficora » et « Capsaicin », exploitent quatre vulnérabilités majeures (estampillées CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 et CVE-2024-33112) sur des appareils non mis à jour, qui transforment ces routeurs en vecteurs d'attaques DDoS, ces attaques qui visent à paralyser des sites. Certains d'entre eux sont d'ailleurs situés en France.
Des botnets aux techniques bien rodées et s'attaquent aux routeurs D-Link
Commençons par le botnet Ficora, qui pour les initiés est une nouvelle variante du tristement célèbre Mirai, rien à voir avec la Toyota. Celui-ci fait preuve d'une activité très soutenue depuis octobre 2024. Son mode opératoire est sophistiqué : il exploite une faille dans l'interface HNAP (un protocole développé pour faciliter la gestion et la configuration des réseaux domestiques) des routeurs D-Link (DIR-645, DIR-806, GO-RT-AC750 et DIR-845L) pour exécuter des commandes malveillantes via la fonction GetDeviceSettings. Les attaques proviennent principalement de deux serveurs néerlandais identifiés.
Ce qui se passe ensuite est intéressant. Une fois l'accès obtenu, Ficora déploie un script baptisé « multi » qui télécharge et exécute le malware principal. Ce dernier dispose d'un arsenal complet, avec des attaques par force brute avec des identifiants préconfigurés, une compatibilité avec de nombreuses architectures Linux (ARM, MIPS, x86...), et surtout des capacités d'attaques DDoS sophistiquées exploitant les protocoles UDP, TCP et DNS.
Ficora brille par sa distribution géographique plutôt étendue. Si le Japon et les États-Unis semblent particulièrement ciblés, les attaques touchent des routeurs vulnérables dans le monde entier. La France, l'Espagne, l'Allemagne et l'Italie font partie des pays européens visés. Les chercheurs, qui ont noté des pics d'activité significatifs en octobre et novembre 2024, évoquent une campagne d'infection aussi bien massive que coordonnée.
Un second botnet plus discret mais tout aussi dangereux
Capsaicin, pour sa part, présente un profil différent. Ce variant du botnet Kaiten, attribué au groupe Keksec (déjà connu pour EnemyBot), s'est manifesté disons plus brièvement, en concentrant ses attaques sur deux jours précis : les 21 et 22 octobre 2024. Sa cible géographique est également plus restreinte. Il se limite plutôt aux pays d'Asie de l'Est.
Le logiciel malveillant se distingue ici par sa capacité à neutraliser les autres botnets présents sur les appareils infectés. Il utilise un script nommé « bins.sh » pour déployer des binaires préfixés « yakuza », adaptés à différentes architectures. Une fois installé, il collecte des informations sur l'hôte et les transmet à son serveur de commande et contrôle (C2) pour coordonner les futures attaques.
Ces botnets exploitent des vulnérabilités qui auraient dû être corrigées depuis longtemps. Certaines datent en effet de 2015, d'où l'importance cruciale des mises à jour de sécurité. Pour les utilisateurs de routeurs D-Link, la vigilance s'impose donc. Pensez à la mise à jour régulière du firmware, aux changements des mots de passe par défaut et à la désactivation des accès distants non essentiels, autant de mesures à adopter pour éviter toute compromission.
Source : Fortinet
30 décembre 2024 à 09h35
