les anciens appareils visés par de nouvelles attaques

Laboratoires Fortinet FortiGuard révèle dans son dernier rapport l’émergence de deux botnets qui exploitent d’anciennes vulnérabilités des équipements D-Link. Ces attaques, observées en octobre et novembre, ciblent particulièrement l’interface HNAP (Home Network Administration Protocol) de ces appareils.

Deux nouveaux réseaux malveillants, appelés FICORA (une variante de Mirai) et CAPSAICIN (dérivé de Kaiten), exploitent des failles découvertes il y a près d’une décennie sur d’anciens équipements D-Link. Ces vulnérabilités, malgré l’existence de correctifs, continuent de constituer une menace en raison du grand nombre de systèmes non mis à jour.

Les botnets exploitent les anciennes vulnérabilités de D-Link

FICORA se distingue par son script de téléchargement sophistiqué, capable de cibler diverses architectures Linux. Ce malware se propage en forçant les informations d’identification et lance des attaques DDoS via les protocoles UDP, TCP et DNS. Le botnet utilise l’algorithme de cryptage ChaCha20 pour masquer les détails de sa configuration et de son serveur de commande et de contrôle.

CAPSAÏCINEdont l’activité a culminé fin octobre, favorise un déploiement rapide. Le malware utilise des commandes préprogrammées pour prendre le contrôle des systèmes ciblés et transmet des informations critiques du système d’exploitation au serveur C2. Caractéristique notable : CAPSAICIN élimine les processus des botnets concurrents pour conserver son exclusivité sur les appareils infectés.

Les attaques de FICORA ont une portée mondiale, tandis que CAPSAICIN cible principalement l’Asie de l’Est, notamment le Japon et Taiwan. Les chercheurs ont identifié plusieurs vulnérabilités exploitéesy compris CVE-2015-2051, CVE-2019-10891 et des vulnérabilités plus récentes. Face à ces menaces, les experts Fortinet soulignent qu’il est crucial de bien mettre à jour vos équipements réseaux ainsi que vos réseaux de surveillance continue.