{"id":3640,"date":"2024-12-30T11:32:12","date_gmt":"2024-12-30T16:32:12","guid":{"rendered":"https:\/\/zidrave.net\/?p=3640"},"modified":"2024-12-30T11:32:12","modified_gmt":"2024-12-30T16:32:12","slug":"las-redes-de-bots-de-malware-explotan-enrutadores-d-link-obsoletos-en-ataques-recientes","status":"publish","type":"post","link":"https:\/\/zidrave.net\/index.php\/2024\/12\/30\/las-redes-de-bots-de-malware-explotan-enrutadores-d-link-obsoletos-en-ataques-recientes\/","title":{"rendered":"Las redes de bots de malware explotan enrutadores D-Link obsoletos en ataques recientes"},"content":{"rendered":"\n<p>Dos botnets identificadas como <strong>&#8216;Ficora&#8217;<\/strong> y <strong>&#8216;Capsaicin&#8217;<\/strong> han registrado un aumento significativo de actividad, enfoc\u00e1ndose en vulnerabilidades de enrutadores <strong>D-Link<\/strong> que han alcanzado el final de su vida \u00fatil o que ejecutan versiones de firmware desactualizadas. Este fen\u00f3meno destaca la necesidad urgente de mantener actualizados los dispositivos de red y sustituir aquellos que ya no reciben soporte del fabricante.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"536\" src=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/07\/image-50-1024x536.png\" alt=\"\" class=\"wp-image-793\" srcset=\"https:\/\/zidrave.net\/wp-content\/uploads\/2024\/07\/image-50-1024x536.png 1024w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/07\/image-50-300x157.png 300w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/07\/image-50-768x402.png 768w, https:\/\/zidrave.net\/wp-content\/uploads\/2024\/07\/image-50.png 1268w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Enrutadores afectados<\/strong><\/h3>\n\n\n\n<p>Entre los modelos de <strong>D-Link<\/strong> identificados como vulnerables se encuentran algunos populares entre individuos y organizaciones peque\u00f1as, tales como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DIR-645<\/strong><\/li>\n\n\n\n<li><strong>DIR-806<\/strong><\/li>\n\n\n\n<li><strong>GO-RT-AC750<\/strong><\/li>\n\n\n\n<li><strong>DIR-845L<\/strong><\/li>\n<\/ul>\n\n\n\n<p>Estos dispositivos son especialmente atractivos para los atacantes debido a su amplia adopci\u00f3n y a la falta de actualizaciones de seguridad disponibles.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>M\u00e9todos de ataque<\/strong><\/h3>\n\n\n\n<p>Para comprometer los dispositivos, las botnets <strong>Ficora<\/strong> y <strong>Capsaicin<\/strong> emplean una combinaci\u00f3n de exploits conocidos dirigidos a vulnerabilidades cr\u00edticas como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CVE-2015-2051<\/strong>: Explotaci\u00f3n de fallas en el protocolo HNAP.<\/li>\n\n\n\n<li><strong>CVE-2019-10891<\/strong>: Vulnerabilidad de autenticaci\u00f3n d\u00e9bil.<\/li>\n\n\n\n<li><strong>CVE-2022-37056<\/strong>: Inyecci\u00f3n de comandos a trav\u00e9s de solicitudes no autenticadas.<\/li>\n\n\n\n<li><strong>CVE-2024-33112<\/strong>: Una falla descubierta recientemente, que afecta a modelos D-Link m\u00e1s antiguos.<\/li>\n<\/ul>\n\n\n\n<p>Una vez que los atacantes logran acceso inicial, aprovechan debilidades en la interfaz de administraci\u00f3n de D-Link, espec\u00edficamente en la funci\u00f3n <strong>HNAP (Home Network Administration Protocol)<\/strong>. Utilizando la acci\u00f3n <strong>GetDeviceSettings<\/strong>, los atacantes ejecutan comandos maliciosos para comprometer completamente el dispositivo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Capacidades y objetivos<\/strong><\/h3>\n\n\n\n<p>Ambas botnets tienen capacidades avanzadas, entre ellas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Robo de datos sensibles<\/strong>: Acceso a configuraciones de red y credenciales almacenadas.<\/li>\n\n\n\n<li><strong>Ejecuci\u00f3n de scripts de shell<\/strong>: Posibilidad de desplegar herramientas adicionales o malware.<\/li>\n\n\n\n<li><strong>Ataques DDoS<\/strong>: Uso de dispositivos comprometidos para generar tr\u00e1fico malicioso masivo y sobrecargar objetivos espec\u00edficos.<\/li>\n<\/ul>\n\n\n\n<p>El prop\u00f3sito principal de las botnets parece ser la creaci\u00f3n de redes de bots para realizar ataques de <strong>Denegaci\u00f3n de Servicio Distribuido (DDoS)<\/strong>. Estas redes tambi\u00e9n podr\u00edan ser alquiladas o utilizadas para otras actividades maliciosas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Distribuci\u00f3n geogr\u00e1fica<\/strong><\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ficora<\/strong>: Tiene una amplia distribuci\u00f3n global, con un enfoque particular en <strong>Jap\u00f3n<\/strong> y <strong>Estados Unidos<\/strong>.<\/li>\n\n\n\n<li><strong>Capsaicin<\/strong>: Est\u00e1 m\u00e1s limitada en alcance, centr\u00e1ndose principalmente en dispositivos ubicados en pa\u00edses del <strong>este de Asia<\/strong>. Esta botnet mostr\u00f3 un aumento repentino en su actividad, concentrado en solo dos d\u00edas a partir del <strong>21 de octubre de 2024<\/strong>.<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Botnet Ficora<\/strong><\/h3>\n\n\n\n<p><strong>Ficora<\/strong> es una variante moderna de la conocida botnet <strong>Mirai<\/strong>, que ha sido adaptada espec\u00edficamente para explotar vulnerabilidades en dispositivos D-Link.<br>De acuerdo con datos de telemetr\u00eda de <strong>Fortinet<\/strong>, Ficora muestra un patr\u00f3n de ataques aleatorios, con picos de actividad significativos registrados durante los meses de <strong>octubre y noviembre de 2024<\/strong>. Esto sugiere una campa\u00f1a coordinada para comprometer la mayor cantidad posible de dispositivos antes de que los administradores de red implementen parches o mitigaciones.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Recomendaciones para protegerse<\/strong><\/h3>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Actualizar el firmware<\/strong>: Si el dispositivo a\u00fan recibe soporte, aseg\u00farese de instalar las actualizaciones m\u00e1s recientes.<\/li>\n\n\n\n<li><strong>Sustituir dispositivos obsoletos<\/strong>: Enrutadores que han alcanzado el final de su vida \u00fatil deben ser reemplazados por modelos m\u00e1s modernos y seguros.<\/li>\n\n\n\n<li><strong>Deshabilitar HNAP<\/strong>: Si no es estrictamente necesario, desactive este protocolo en la configuraci\u00f3n del dispositivo.<\/li>\n\n\n\n<li><strong>Configurar firewalls<\/strong>: Limite el acceso a las interfaces de administraci\u00f3n \u00fanicamente a IPs confiables.<\/li>\n\n\n\n<li><strong>Monitorear actividad inusual<\/strong>: Use herramientas de monitoreo para detectar tr\u00e1fico no autorizado o comportamiento an\u00f3malo en la red.<\/li>\n<\/ol>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>Conclusi\u00f3n<\/strong><\/h3>\n\n\n\n<p>El incremento en los ataques de <strong>Ficora<\/strong> y <strong>Capsaicin<\/strong> subraya la importancia de la ciberseguridad en dispositivos de red dom\u00e9sticos y empresariales. Los administradores deben tomar medidas proactivas para proteger su infraestructura, ya que los enrutadores comprometidos no solo representan un riesgo para el usuario directo, sino que tambi\u00e9n se convierten en herramientas poderosas para ataques a gran escala en internet.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Dos botnets identificadas como &#8216;Ficora&#8217; y &#8216;Capsaicin&#8217; han registrado un<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"ngg_post_thumbnail":0,"footnotes":""},"categories":[2377,2376,2380],"tags":[1462,1742,594,9856,1702,9850,9857,9849,9852,6174,9855,9854,7664,9851,9853,9137,9848,8714,7643,4482],"class_list":["post-3640","post","type-post","status-publish","format-standard","hentry","category-ciberseguridad","category-hardware","category-noticias","tag-actualizaciones-de-firmware","tag-ataques-ddos","tag-botnets","tag-capsaicin","tag-ciberseguridad","tag-cve-2015-2051","tag-d-link","tag-dispositivos-eol","tag-enrutadores-vulnerables","tag-exploits","tag-ficora","tag-firmware-obsoleto","tag-fortinet","tag-hnap","tag-mirai","tag-proteccion-de-redes","tag-reemplazo-de-dispositivos","tag-seguridad-de-red","tag-telemetria","tag-trafico-malicioso"],"_links":{"self":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3640","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/comments?post=3640"}],"version-history":[{"count":1,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3640\/revisions"}],"predecessor-version":[{"id":3641,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/posts\/3640\/revisions\/3641"}],"wp:attachment":[{"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/media?parent=3640"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/categories?post=3640"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/zidrave.net\/index.php\/wp-json\/wp\/v2\/tags?post=3640"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}