Ces derniers mois, deux botnets ont tenté d’attaquer d’anciens routeurs D-Link. Il s’agit là d’appareils qui n’ont pas installé de mises à jour récentes.
Les deux botnets s’appellent Ficora et Capsaicin. Le premier est une nouvelle variante du botnet Mirai qui a été modifié pour infecter également les routeurs D-Link.
Selon Fortinet, les deux botnets sont très actifs depuis octobre et novembre. Ils exploitent des vulnérabilités connues dans les routeurs pour abuser l’interface de gestion (HNAP) et exécuter des commandes malveillantes via une action GetDeviceSettings. Il leur est ainsi possible de voler des données et d’exécuter des scripts shell. Fortinet soupçonne que les routeurs infectés puissent également être utilisés pour des attaques DDoS.
La firme de sécurité mentionne les modèles D-Link DIR-645 Wired/Wireless Router Rev. Ax avec firmware 1.04b12 et plus anciens, ainsi que les modèles D-Link DIR-806, D-Link GO-RT-AC750 GORTAC750_revA_v101b03 et GO-RT-AC750_revB_FWv200b02, ainsi que le D-Link DIR-845L Router v1.01KRb03 et des modèles plus anciens. Il s’agit généralement de routeurs pour les consommateurs et les petites organisations.
Pas en Belgique?
Capsaicin n’a été actif que pendant deux jours, les 21 et 22 octobre, spécifiquement en Asie de l’Est, dont le Japon et Taïwan. Quant à Ficora, il est présent sur presque tous les continents, y compris en Europe. Quasiment toute l’Europe occidentale pâtit d’infections dues à Ficora. Etonnamment, la Belgique n’en fait pas partie, tout comme le Royaume-Uni, les pays scandinaves et une grande partie des pays d’Europe de l’Est. Aux Pays-Bas, le logiciel malveillant semble être beaucoup plus actif.
Il est malaisé de dire si la Belgique n’est pas ou ne sera pas du tout une cible. Une vérification rapide montre que certains modèles ont été proposés dans une boutique en ligne populaire dans notre pays ces dernières années. Il y a donc un grand risque que les modèles soient en circulation ici aussi.
Toute personne qui utilise un tel modèle, doit s’assurer que les mises à jour les plus récentes soient installées. Si tel est le cas, elles ne doivent en principe pas s’attendre à un abus de la part de Ficora ou de Capsaicin. Mais Fortinet prévient que certains routeurs sont en fin de vie. Cela signifie qu’ils ne reçoivent plus de mises à jour et ne sont donc plus sécurisés. Si vous utilisez encore et toujours un tel routeur, il est préférable de le remplacer.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici