Botnets FICORA y CAPSAICIN explotan fallos de los antiguos enrutadores D-Link

AXCESS · Diciembre 29, 2024, 03:38:55 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

FortiGuard Labs ha observado un aumento en la actividad de dos botnets, "FICORA" y "CAPSAICIN", en octubre y noviembre de 2024. En su publicación de blog, compartida exclusivamente con No tienes permitido ver enlaces. Registrate o Entra a tu cuenta, el equipo de investigación de amenazas de FortiGuard Labs explicó que estas botnets son variantes de las conocidas botnets Mirai y Kaiten y pueden ejecutar comandos maliciosos.

Investigaciones posteriores revelaron que la distribución de estas botnets implica la explotación de vulnerabilidades de D-Link que permiten a los atacantes remotos ejecutar comandos maliciosos a través de una acción GetDeviceSettings en la interfaz del Protocolo de administración de red doméstica (HNAP).

Estas vulnerabilidades incluyen CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 y CVE-2024-33112. Estos CVE representan instancias específicas de vulnerabilidades dentro de los enrutadores D-Link que los atacantes han explotado. A menudo implican fallas en la forma en que HNAP maneja la entrada y autenticación del usuario. Los atacantes utilizan la interfaz HNAP para distribuir el malware, y esta debilidad fue expuesta por primera vez hace casi una década.

Las plataformas afectadas incluyen el enrutador inalámbrico/con cable DIR-645 Rev. Ax de D-Link, los dispositivos DIR-806 de D-Link y los dispositivos GO-RT-AC750 GORTAC750_revA_v101b03 y GO-RT-AC750_revB_FWv200b02 de D-Link. Según la telemetría IPS de FortiGuard Labs, las botnets tienen un alto nivel de gravedad y se propagan a través de ataques más antiguos.

La botnet FICORA es un software malicioso que ataca múltiples arquitecturas Linux y codifica su configuración utilizando el algoritmo de cifrado ChaCha20. Además, sus funcionalidades también incluyen una función de ataque de fuerza bruta, que incorpora un script de shell con caracteres ASCII hexadecimales para identificar y eliminar otros procesos de malware, y funcionalidades de ataque DDoS utilizando protocolos como UDP, TCP y DNS.

Esta botnet, según la publicación del blog del equipo de investigación de amenazas de FortiGuard Labs, descarga un script de shell llamado "multi" que utiliza varios métodos, incluidos wget, ftpget, curl y tftp para descargar el malware real.

Script de descarga "multi" que utiliza el comando "curl"
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

El ataque de la botnet FICORA, que tuvo como objetivo a muchos países del mundo, fue desencadenado por atacantes desde servidores de los Países Bajos. Por otro lado, el ataque CAPSAICIN, a diferencia de FICORA, solo estuvo intensamente activo durante dos días entre el 21 y el 22 de octubre de 2024 y tuvo como objetivo a países del este de Asia.

Sin embargo, al igual que FICORA, también exhibe diversas funcionalidades, incluida la descarga de un script de shell llamado 'bins.sh', apuntando a múltiples arquitecturas Linux, matando procesos de botnet conocidos, estableciendo una conexión con su servidor C2, enviando información del host de la víctima y ofreciendo funciones de ataque DDoS.

Aunque las vulnerabilidades explotadas en este ataque se conocen desde hace casi una década, estos ataques siguen siendo frecuentes, lo que es preocupante. Sin embargo, para reducir el riesgo de que los dispositivos D-Link se vean comprometidos por botnets, se recomienda actualizar periódicamente el firmware y mantener un monitoreo integral de la red.

"FortiGuard Labs descubrió que "FICORA" y "CAPSAICIN" se propagaron a través de esta debilidad. Por este motivo, es fundamental que todas las empresas actualicen periódicamente el kernel de sus dispositivos y mantengan un seguimiento exhaustivo", concluyó el investigador Vincent Li de FortiGuard Lab.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Botnets FICORA y CAPSAICIN explotan fallos de los antiguos enrutadores D-Link

AXCESS

Diciembre 29, 2024, 03:38:55 AM