Le botnet Ficora e Capsaicin in azione
Negli ultimi mesi, gli esperti di sicurezza informatica di Fortinet hanno registrato un significativo aumento delle attività di due botnet, denominate Ficora e Capsaicin. Queste botnet, rispettivamente varianti delle note Mirai e Kaiten, stanno sfruttando vulnerabilità critiche nei router D-Link, in particolare modelli obsoleti non più supportati dal produttore. La scoperta di una nuova botnet che colpisce i router TP-Link ha ulteriormente allarmato gli esperti, evidenziando la necessità di una maggiore attenzione alla sicurezza dei dispositivi di rete.
Vulnerabilità nei router D-Link
I router D-Link più colpiti includono i modelli DIR-645, DIR-806, GO-RT-AC750 e DIR-845L. Questi dispositivi, sebbene non più supportati, continuano a essere utilizzati da molti utenti e aziende.
L’accesso iniziale da parte delle botnet avviene sfruttando diverse vulnerabilità dell’interfaccia HNAP (Home Network Administration Protocol). Tra le vulnerabilità più critiche ci sono CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112, che consentono l’esecuzione di codice remoto, mettendo a rischio la sicurezza dei dati degli utenti.
Meccanismi di attacco delle botnet
Una volta ottenuto l’accesso ai router, il malware scarica e esegue uno script di shell, installando un payload che consente di effettuare attacchi DDoS (Distributed Denial of Service) attraverso tecniche come UDP flooding, TCP flooding e DNS amplification. In particolare, Ficora ha colpito router in vari paesi, mentre Capsaicin ha avuto un impatto maggiore sui dispositivi situati in Asia. Capsaicin utilizza uno script downloader che supporta diverse architetture e cerca di disattivare i processi di altre botnet per ottenere un accesso esclusivo ai dispositivi infettati.
Raccomandazioni per la sicurezza
Per proteggere i propri dispositivi e la rete domestica o aziendale, è fondamentale che gli utenti cambino sempre la password predefinita dei router e installino il firmware più recente disponibile. Se il router non è più supportato dal produttore, la sostituzione del dispositivo diventa una necessità per garantire la sicurezza della rete. La consapevolezza delle vulnerabilità e l’adozione di misure preventive sono essenziali per difendersi da queste minacce informatiche sempre più sofisticate.
