Fortinet FortiGuard Labs révèle dans son dernier rapport l’émergence de deux botnets qui exploitent des vulnérabilités anciennes des équipements D-Link. Ces attaques, observées en octobre et novembre, ciblent particulièrement l’interface HNAP (Home Network Administration Protocol) de ces appareils.

Deux nouveaux réseaux malveillants, baptisés FICORA (une variante de Mirai) et CAPSAICIN (dérivé de Kaiten), exploitent des failles découvertes il y a près d’une décennie sur les vieux équipements D-Link. Ces vulnérabilités, malgré l’existence de correctifs, continuent de présenter une menace en raison du nombre important de systèmes non mis à jour.

Des botnets exploitent d’anciennes failles D-Link

FICORA se distingue par son script de téléchargement sophistiqué, capable de cibler diverses architectures Linux. Ce malware se propage en forçant les identifiants et lance des attaques DDoS via les protocoles UDP, TCP et DNS. Le botnet utilise l’algorithme de chiffrement ChaCha20 pour masquer sa configuration et les détails de son serveur de commande et contrôle.

CAPSAICIN, dont l’activité a culminé fin octobre, privilégie un déploiement rapide. Le malware emploie des commandes préprogrammées pour prendre le contrôle des systèmes ciblés et transmet les informations critiques du système d’exploitation au serveur C2. Particularité notable : CAPSAICIN élimine les processus des botnets concurrents pour maintenir son exclusivité sur les appareils infectés.

Les attaques de FICORA ont une portée mondiale, tandis que CAPSAICIN cible principalement l’Asie de l’Est, notamment le Japon et Taïwan. Les chercheurs ont identifié plusieurs vulnérabilités exploitées, dont CVE-2015-2051, CVE-2019-10891, et des failles plus récentes. Face à ces menaces, les experts de Fortinet rappellent qu’il est crucial de bien mettre à jour vos équipements réseau ainsi que vos réseaux de surveillance continue.