5 de febrero de 2025

Dos botnets identificadas como ‘Ficora’ y ‘Capsaicin’ han registrado un aumento significativo de actividad, enfocándose en vulnerabilidades de enrutadores D-Link que han alcanzado el final de su vida útil o que ejecutan versiones de firmware desactualizadas. Este fenómeno destaca la necesidad urgente de mantener actualizados los dispositivos de red y sustituir aquellos que ya no reciben soporte del fabricante.

Enrutadores afectados

Entre los modelos de D-Link identificados como vulnerables se encuentran algunos populares entre individuos y organizaciones pequeñas, tales como:

  • DIR-645
  • DIR-806
  • GO-RT-AC750
  • DIR-845L

Estos dispositivos son especialmente atractivos para los atacantes debido a su amplia adopción y a la falta de actualizaciones de seguridad disponibles.

Métodos de ataque

Para comprometer los dispositivos, las botnets Ficora y Capsaicin emplean una combinación de exploits conocidos dirigidos a vulnerabilidades críticas como:

  • CVE-2015-2051: Explotación de fallas en el protocolo HNAP.
  • CVE-2019-10891: Vulnerabilidad de autenticación débil.
  • CVE-2022-37056: Inyección de comandos a través de solicitudes no autenticadas.
  • CVE-2024-33112: Una falla descubierta recientemente, que afecta a modelos D-Link más antiguos.

Una vez que los atacantes logran acceso inicial, aprovechan debilidades en la interfaz de administración de D-Link, específicamente en la función HNAP (Home Network Administration Protocol). Utilizando la acción GetDeviceSettings, los atacantes ejecutan comandos maliciosos para comprometer completamente el dispositivo.

Capacidades y objetivos

Ambas botnets tienen capacidades avanzadas, entre ellas:

  • Robo de datos sensibles: Acceso a configuraciones de red y credenciales almacenadas.
  • Ejecución de scripts de shell: Posibilidad de desplegar herramientas adicionales o malware.
  • Ataques DDoS: Uso de dispositivos comprometidos para generar tráfico malicioso masivo y sobrecargar objetivos específicos.

El propósito principal de las botnets parece ser la creación de redes de bots para realizar ataques de Denegación de Servicio Distribuido (DDoS). Estas redes también podrían ser alquiladas o utilizadas para otras actividades maliciosas.

Distribución geográfica

  • Ficora: Tiene una amplia distribución global, con un enfoque particular en Japón y Estados Unidos.
  • Capsaicin: Está más limitada en alcance, centrándose principalmente en dispositivos ubicados en países del este de Asia. Esta botnet mostró un aumento repentino en su actividad, concentrado en solo dos días a partir del 21 de octubre de 2024.

Botnet Ficora

Ficora es una variante moderna de la conocida botnet Mirai, que ha sido adaptada específicamente para explotar vulnerabilidades en dispositivos D-Link.
De acuerdo con datos de telemetría de Fortinet, Ficora muestra un patrón de ataques aleatorios, con picos de actividad significativos registrados durante los meses de octubre y noviembre de 2024. Esto sugiere una campaña coordinada para comprometer la mayor cantidad posible de dispositivos antes de que los administradores de red implementen parches o mitigaciones.

Recomendaciones para protegerse

  1. Actualizar el firmware: Si el dispositivo aún recibe soporte, asegúrese de instalar las actualizaciones más recientes.
  2. Sustituir dispositivos obsoletos: Enrutadores que han alcanzado el final de su vida útil deben ser reemplazados por modelos más modernos y seguros.
  3. Deshabilitar HNAP: Si no es estrictamente necesario, desactive este protocolo en la configuración del dispositivo.
  4. Configurar firewalls: Limite el acceso a las interfaces de administración únicamente a IPs confiables.
  5. Monitorear actividad inusual: Use herramientas de monitoreo para detectar tráfico no autorizado o comportamiento anómalo en la red.

Conclusión

El incremento en los ataques de Ficora y Capsaicin subraya la importancia de la ciberseguridad en dispositivos de red domésticos y empresariales. Los administradores deben tomar medidas proactivas para proteger su infraestructura, ya que los enrutadores comprometidos no solo representan un riesgo para el usuario directo, sino que también se convierten en herramientas poderosas para ataques a gran escala en internet.

Tags:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *


Noticias Relacionadas

image

La Otra Cara de la Fama en Peru, Makanaki Frustrado

30 de enero de 2025
image

Speed en Perú: Declara al Peru como el mejor de Latinoamérica y vive una aventura inolvidable

30 de enero de 2025

Te pueden interesar

image

Deepseek y Chatgpt: ¿Como se crearon?

4 de febrero de 2025
image

¿Trump reconoce a Maduro como presidente de Venezuela?, ¿Qué hay detrás de todo esto?

2 de febrero de 2025
image

¿Deberían ser obligatorias las pruebas de ADN antes de firmar un hijo? 

30 de enero de 2025
image

La Otra Cara de la Fama en Peru, Makanaki Frustrado

30 de enero de 2025
image

Speed en Perú: Declara al Peru como el mejor de Latinoamérica y vive una aventura inolvidable

30 de enero de 2025
image

Nueva Billetera digital en Peru: El proyecto que busca imitar el éxito de UPI en la India

30 de enero de 2025