Botnets vallen oude D-Link routers aan
Twee botnets proberen de laatste maanden oude routers van D-link aan te vallen. Het gaat om toestellen die geen recente updates hebben geïnstalleerd.
De twee botnets zijn Ficora en Capsaicin. Die eerste is een nieuwe variant van het Mirai botnet dat werd aangepast om ook D-Link routers te infecteren.
Volgens Fortinet zijn de twee netwerken sinds oktober en november in opmars. Ze gebruiken gekende kwetsbaarheden (CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 en CVE-2024-33112) in de routers om zo de management interface (HNAP) te misbruiken en zo malafide opdrachten uit te voeren via een GetDeviceSettings actie. Zo is het mogelijk om data te stelen en shell scripts uit te voeren. Fortinet vermoedt dat geïnfecteerde routers ook voor DDoS-aanvallen kunnen worden ingezet.
Het beveiligingsbedrijf noemt daarbij de modellen D-Link DIR-645 Wired/Wireless Router Rev. Ax met firmware 1.04b12 en ouder. D-Link DIR-806 toestellen. D-Link GO-RT-AC750 GORTAC750_revA_v101b03 en GO-RT-AC750_revB_FWv200b02. D-Link DIR-845L router v1.01KRb03 en oudere modellen. Het gaat doorgaans om routers voor consumenten en kleine organisaties.
Niet in België?
Capsaicin was slechts actief op twee dagen, 21 en 22 oktober en dat specifiek in Oost-Azië, onder meer Japan en Taiwan. Ficora is zowat op elk continent actief, ook in Europa. Vrijwel heel West-Europa telt infecties met Ficora. België is daar opmerkelijk genoeg niet bij, net zoals het VK, de scandinavische landen en een groot deel van de Oost-Europese landen. In Nederland lijkt de malware net wel een stuk actiever.
Of België helemaal geen doelwit is of zal worden, is moeilijk te zeggen. Een snelle check leert dat sommige modellen de afgelopen jaren werden aangeboden bij een populaire webshop in ons land. De kans is daarom groot dat de modellen hier wel in omloop zijn.
Wie zo’n model in gebruik heeft moet ervoor zorgen dat de meest recente updates zijn geïnstalleerd. Wie daarin mee is, hoeft in principe geen misbruik van Ficora of Capsaicin te verwachten. Maar Fortinet waarschuwt dat sommige routers end-of-life zijn. Dat wil zeggen dat ze geen updates meer krijgen en dus onveilig zijn. Wie zo’n router nog steeds in gebruik heeft, vervangt het toestel best.
Fout opgemerkt of meer nieuws? Meld het hier