{"id":21492,"date":"2024-12-30T22:54:54","date_gmt":"2024-12-31T01:54:54","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=21492"},"modified":"2024-12-30T22:54:55","modified_gmt":"2024-12-31T01:54:55","slug":"vulnerabilidades-antigas-da-d-link-utilizadas-para-ataques-globais","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2024\/12\/exploits\/vulnerabilidades-antigas-da-d-link-utilizadas-para-ataques-globais\/","title":{"rendered":"Vulnerabilidades antigas da D-Link utilizadas para ataques globais"},"content":{"rendered":"\n<p><strong>Botnets FICORA e Kaiten exploram vulnerabilidades antigas da D-Link para ataques globais<\/strong><\/p>\n<p style=\"text-align: justify;\">A seguran\u00e7a cibern\u00e9tica continua sendo um desafio significativo, especialmente com a explora\u00e7\u00e3o persistente de vulnerabilidades antigas em dispositivos de rede amplamente utilizados. Recentemente, pesquisadores de seguran\u00e7a t\u00eam alertado para a intensifica\u00e7\u00e3o de atividades maliciosas envolvendo dois botnets baseados em D-Link: o FICORA e o CAPSAICIN, tamb\u00e9m conhecido como Kaiten. Ambos os botnets aproveitam vulnerabilidades antigas em roteadores D-Link para conduzir ataques globais, afetando tanto grandes organiza\u00e7\u00f5es quanto usu\u00e1rios dom\u00e9sticos.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Botnet FICORA: explora\u00e7\u00e3o de vulnerabilidades HNAP em roteadores D-Link<\/strong><\/p>\n<p style=\"text-align: justify;\">O botnet FICORA, uma varia\u00e7\u00e3o do Mirai, continua a explorar uma falha conhecida no protocolo HNAP (Home Network Administration Protocol) de roteadores D-Link. A principal vulnerabilidade explorada \u00e9 a execu\u00e7\u00e3o de comandos maliciosos remotamente via a fun\u00e7\u00e3o GetDeviceSettings no HNAP.<\/p>\n<ul>\n<li><strong>Vulnerabilidades associadas<\/strong>:\n<ul>\n<li><strong>CVE-2015-2051<\/strong><\/li>\n<li><strong>CVE-2019-10891<\/strong><\/li>\n<li><strong>CVE-2022-37056<\/strong><\/li>\n<li><strong>CVE-2024-33112<\/strong><\/li>\n<\/ul>\n<\/li>\n<li><strong>T\u00e1ticas utilizadas pelo botnet<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">O FICORA se conecta a servidores C2 (Command &amp; Control) espec\u00edficos para baixar payloads de malwares, utilizando comandos como wget, ftpget, curl e tftp para obter arquivos bin\u00e1rios para v\u00e1rias arquiteturas Linux.<\/li>\n<li style=\"text-align: justify;\">Uma fun\u00e7\u00e3o de for\u00e7a bruta integrada tenta derrubar as credenciais padr\u00e3o de login em roteadores vulner\u00e1veis, aproveitando listas codificadas com nomes de usu\u00e1rio e senhas comuns.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Segundo os pesquisadores da FortiGuard Labs, os ataques FICORA t\u00eam uma presen\u00e7a global, atingindo diversos pa\u00edses e organiza\u00e7\u00f5es.<\/p>\n<p>\u00a0<\/p>\n<p><strong>Botnet CAPSAICIN (Kaiten): foco em \u00e1reas da \u00c1sia Oriental<\/strong><\/p>\n<p style=\"text-align: justify;\">O botnet CAPSAICIN, uma variante do Kaiten, foca principalmente em territ\u00f3rios da \u00c1sia Oriental, como Jap\u00e3o e Taiwan. Embora os m\u00e9todos sejam similares, h\u00e1 algumas diferen\u00e7as nas t\u00e1ticas e nos endere\u00e7os IP utilizados.<\/p>\n<ul>\n<li>\n<p><strong>Endere\u00e7o de C2 utilizado pelo CAPSAICIN<\/strong>:<\/p>\n<ul>\n<li><strong>87.10.220[.]221<\/strong><\/li>\n<\/ul>\n<\/li>\n<li>\n<p><strong>Fun\u00e7\u00f5es e comandos usados pelo CAPSAICIN<\/strong>:<\/p>\n<ul>\n<li><strong>PRIVMSG<\/strong>: Permite o envio de comandos para dispositivos comprometidos.<\/li>\n<li><strong>GETIP<\/strong>: Obt\u00e9m o endere\u00e7o IP da interface da v\u00edtima.<\/li>\n<li><strong>CLEARHISTORY<\/strong>: Apaga o hist\u00f3rico de comandos.<\/li>\n<li><strong>FASTFLUX<\/strong>: Configura um proxy em outro IP para manipular o tr\u00e1fego.<\/li>\n<li><strong>RNDNICK<\/strong>: Randomiza os nomes de host v\u00edtimas.<\/li>\n<li><strong>IRC<\/strong>: Envia mensagens para o servidor de comando.<\/li>\n<li><strong>SH<\/strong>: Executa comandos shell.<\/li>\n<li><strong>INSTALL<\/strong>: Instala bin\u00e1rios maliciosos em &#8220;\/var\/bin&#8221;.<\/li>\n<li><strong>KILL<\/strong>: Termina sess\u00f5es maliciosas.<\/li>\n<li><strong>STORM-ATTACKS<\/strong>: Realiza diferentes ataques de nega\u00e7\u00e3o de servi\u00e7o (DDoS) usando UDP, TCP, DNS e ICMP.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">A CAPSAICIN se conecta ao servidor C2 &#8220;192.110.247[.]46&#8221; e envia informa\u00e7\u00f5es do sistema operacional e o apelido atribu\u00eddo pelos malwares de volta a esse servidor.<\/p>\n<div class=\"separator\"><img loading=\"lazy\" decoding=\"async\" class=\"loaded aligncenter\" title=\"FICORA and Kaiten Botnets\" src=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjfHbAyTHfbmvPk0wV9xFRFlFGVhcQcxQmVAW31ayo2MnitBKsCcuYwR6hh-9f2C7Ku66aiLhVb033rVzF9C5ASzhryyKZwoF9JGQljdKUAUXQBeVmnWvcOiRmxZ0XpE9Tgs70A-Ul0DSVBZRGpi7SgwYxS2h01GKoB6F1D0dH3YewfJrT62rpc1EHsIe1H\/s728-rw-e365\/killall.jpeg\" alt=\"FICORA and Kaiten Botnets\" width=\"621\" height=\"238\" border=\"0\" data-original-height=\"439\" data-original-width=\"1146\" \/><\/div>\n<div class=\"group\/conversation-turn relative flex w-full min-w-0 flex-col agent-turn\">\n<div class=\"flex-col gap-1 md:gap-3\">\n<div class=\"flex max-w-full flex-col flex-grow\">\n<div class=\"min-h-8 text-message flex w-full flex-col items-end gap-2 whitespace-normal break-words text-start [.text-message+&amp;]:mt-5\" dir=\"auto\" data-message-author-role=\"assistant\" data-message-id=\"6c02ecfe-b398-487d-a072-b6728a3f73d7\" data-message-model-slug=\"gpt-4o-mini\">\n<div class=\"flex w-full flex-col gap-1 empty:hidden first:pt-[3px]\">\n<div class=\"markdown prose w-full break-words dark:prose-invert light\">\n<p>\u00a0<\/p>\n<p><strong>Impacto e persist\u00eancia dos ataques<\/strong><\/p>\n<p style=\"text-align: justify;\">Apesar de as vulnerabilidades exploradas pelos botnets FICORA e CAPSAICIN terem sido conhecidas e corrigidas h\u00e1 quase uma d\u00e9cada, os ataques continuam ativos em todo o mundo.<\/p>\n<ul>\n<li style=\"text-align: justify;\"><strong>FICORA<\/strong>: Os ataques desse botnet continuam afetando diversas regi\u00f5es globais, com foco em roteadores D-Link desatualizados que ainda possuem falhas relacionadas ao HNAP.<\/li>\n<li style=\"text-align: justify;\"><strong>CAPSAICIN<\/strong>: Foca em regi\u00f5es espec\u00edficas da \u00c1sia, demonstrando atividade intensa em outubro de 2024.<\/li>\n<\/ul>\n<p style=\"text-align: justify;\">Os pesquisadores destacam que a explora\u00e7\u00e3o persistente dessas vulnerabilidades pode ser atribu\u00edda \u00e0 falta de atualiza\u00e7\u00e3o de firmware em dispositivos vulner\u00e1veis, bem como \u00e0 aus\u00eancia de uma vigil\u00e2ncia eficaz.<\/p>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<p><strong>Recomenda\u00e7\u00f5es para mitiga\u00e7\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Tendo em vista a persist\u00eancia e os danos causados pelos botnets FICORA e CAPSAICIN, especialistas recomendam as seguintes a\u00e7\u00f5es:<\/p>\n<ol>\n<li><strong>Atualiza\u00e7\u00e3o Regular de Firmware<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">As atualiza\u00e7\u00f5es de firmware s\u00e3o essenciais para corrigir falhas conhecidas, como as relacionadas ao protocolo HNAP em roteadores D-Link.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Monitoramento Ativo<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">Implementar solu\u00e7\u00f5es de monitoramento para detectar e bloquear atividades maliciosas em tempo real.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Configura\u00e7\u00e3o de Controles de Acesso<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">Desativar servi\u00e7os desnecess\u00e1rios e ajustar as configura\u00e7\u00f5es de acesso para limitar a exposi\u00e7\u00e3o a ataques.<\/li>\n<\/ul>\n<\/li>\n<li><strong>Educa\u00e7\u00e3o e Treinamento<\/strong>:\n<ul>\n<li style=\"text-align: justify;\">Treinar equipes de TI e usu\u00e1rios finais para reconhecer sinais de atividades suspeitas e agir preventivamente.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n<p>\u00a0<\/p>\n<\/div>\n<\/div>\n<p><strong>Conclus\u00e3o<\/strong><\/p>\n<p style=\"text-align: justify;\">Os botnets FICORA e CAPSAICIN continuam a explorar vulnerabilidades antigas em roteadores D-Link, demonstrando como problemas de seguran\u00e7a cibern\u00e9tica podem persistir, mesmo ap\u00f3s corre\u00e7\u00f5es terem sido lan\u00e7adas. A manuten\u00e7\u00e3o cont\u00ednua da seguran\u00e7a, o monitoramento eficaz e a aplica\u00e7\u00e3o de atualiza\u00e7\u00f5es regulares s\u00e3o cruciais para mitigar esses riscos. Empresas e usu\u00e1rios dom\u00e9sticos devem estar atentos \u00e0s falhas conhecidas e garantir que seus sistemas estejam protegidos contra essas amea\u00e7as persistentes.<\/p>\n<\/div>\n<p>\u00a0<\/p>\n<p>Fonte e imagens: <a href=\"https:\/\/thehackernews.com\/2024\/12\/ficora-and-kaiten-botnets-exploit-old-d.html\" target=\"_blank\" rel=\"noopener\">https:\/\/thehackernews.com\/2024\/12\/ficora-and-kaiten-botnets-exploit-old-d.html<\/a><\/p>\n<\/div>\n<p>\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"<p>Botnets FICORA e Kaiten exploram vulnerabilidades antigas da D-Link para ataques globais A seguran\u00e7a cibern\u00e9tica continua sendo um desafio significativo, especialmente com a explora\u00e7\u00e3o persistente de vulnerabilidades antigas em dispositivos de rede amplamente utilizados. Recentemente, pesquisadores de seguran\u00e7a t\u00eam alertado para a intensifica\u00e7\u00e3o de atividades maliciosas envolvendo dois botnets baseados em D-Link: o FICORA e [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":21495,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105],"tags":[],"class_list":["post-21492","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=21492"}],"version-history":[{"count":7,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21492\/revisions"}],"predecessor-version":[{"id":21500,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/21492\/revisions\/21500"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/21495"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=21492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=21492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=21492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}