Iscriviti ora al Webinar di presentazione del corso Ethical Hacker! Scopri di più
Iscriviti ora al Webinar di presentazione del corso CISO! Scopri di più
Nell'attuale panorama della sicurezza informatica, le vulnerabilità nei dispositivi di rete continuano a rappresentare una minaccia significativa. Un recente studio ha evidenziato come i vecchi dispositivi D-Link siano ancora bersaglio di attacchi informatici da parte di botnet come FICORA e Kaiten, quest'ultimo conosciuto anche come Tsunami. Questi attacchi sfruttano vulnerabilità ben documentate che permettono agli aggressori di eseguire comandi malevoli tramite l'interfaccia HNAP (Home Network Administration Protocol).
Queste debolezze di D-Link, esposte da quasi un decennio, includono diverse vulnerabilità note con numeri CVE specifici come CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 e CVE-2024-33112. Tuttavia, nonostante le patch siano state rilasciate, molte installazioni rimangono vulnerabili, con attacchi che continuano a essere segnalati a livello globale.
Il botnet FICORA
Il botnet FICORA, ad esempio, mira a scaricare uno script shell da un server remoto per colpire diverse architetture Linux, usando comandi come wget, ftpget, curl e tftp. Questo malware contiene anche una funzione di attacco brute-force con una lista di username e password hard-coded, e integra strumenti per attacchi DDoS tramite protocolli UDP, TCP e DNS.
Botnet CAPSAICIN
Un altro esempio è il botnet CAPSAICIN, che utilizza un indirizzo IP differente per il download del suo script e si collega a un server C2 per inviare informazioni sui sistemi infetti. Questo botnet è particolarmente attivo in Asia orientale, come evidenziato da un picco di attività registrato tra il 21 e il 22 ottobre 2024.
CAPSAICIN può inoltre eseguire una serie di comandi malevoli sui dispositivi compromessi, tra cui la rimozione della cronologia comandi, l'avvio di proxy, il cambiamento del server di comando e controllo e l'esecuzione di attacchi di flooding tramite diversi protocolli come TCP, UDP e HTTP. È anche in grado di terminare processi di botnet concorrenti per garantirsi l'esclusività sul dispositivo infetto.
Nonostante queste vulnerabilità siano state risolte da tempo, il fatto che gli attacchi continuino a essere attivi sottolinea l'importanza di aggiornare regolarmente i dispositivi e monitorare costantemente le infrastrutture IT per prevenire compromissioni e attacchi su larga scala.
