Les chercheurs en sécurité de Fortinet ont détecté un regain d’activité de deux variantes de botnets Mirai et Kaiten exploitant des vulnérabilités de routeurs D-Link vieilles de 10 ans. Ces failles bénéficient depuis longtemps de correctifs, mais qui ne sont pas toujours appliqués.
Les utilisateurs d’anciens modèles de routeurs D-Link doivent se méfier. L’équipe de chercheurs en sécurité de Fortinet, Fortiguard labs threat research, a identifié en octobre et novembre 2024 une hausse d’activité de deux botnets exploitant des failles non corrigées de ces matériels. Les routeurs concernés sont essentiellement à usage domestique mais peuvent très bien avoir été installés dans des réseaux de TPE-PME. Les modèles et versions de routeurs D-Link affectées sont les suivantes : DIR-645 Wired/Wireless Rev. Ax avec firmware 1.04b12 et antérieur, DIR-806, GO-RT-AC750, GORTAC750 revA v101b03 et revB FWv200b02, DIR-845L v1.01KRb03 et antérieur.
Les deux botnets repérés par Fortinet, Ficora et Capsaicin, s’avèrent être respectivement des variantes de Mirai et de Kaiten qui exploitent des failles incluant les CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 et CVE-2024-33112. « Bien que les faiblesses exploitées dans cette attaque aient été révélées et corrigées il y a près de dix ans, ces attaques sont restées actives dans le monde entier », explique Fortinet. « Il est essentiel que chaque entreprise mette régulièrement à jour le noyau de ses appareils et assure une surveillance complète. Ces mesures contribueront à réduire la probabilité que des logiciels malveillants soient déployés par le biais de cette vulnérabilité. »
D’après l’enquête des chercheurs en sécurité de Fortinet, le botnet Ficora a été activé sur des serveurs localisés aux Pays-Bas avant de se répandre dans de nombreux pays (France, Etats-Unis, Inde, Brésil, Japon…). De son côté, Capsaicin s’est principalement répandu en Asie de l’Est
