Masz taki router Wi-Fi? To masz też powód do obaw
Właściciele routerów D-Link mają spory problem. Urządzenia te są znów wykorzystywane do cyberataków bez wiedzy właścicieli.
Specjaliści z firmy Fortinet zaobserwowali wzrost szkodliwej aktywności, powiązanej z niektórymi urządzeniami sieciowymi D-Link. Cyberprzestępcy przejmują nad nimi kontrolę zdalnie i łączą je w botnety (Mirai i Kaiten/Tsunami), by przeprowadzać dalsze ataki.
Botnet Kaiten jest aktywny głównie na wschodzie Azji, przede wszystkim w Japonii i Tajwanie. Po instalacji na routerze ofiary wyłącza konkurencyjne botnety i czeka na dalsze polecenia. Może między innymi przeprowadzić atak DDoS (zalewanie celu śmieciowymi pakietami aż przestanie działać prawidłowo) na wskazany cel, ściągnąć plik czy wykonać polecenie systemowe na zainfekowanym routerze.
Mirai ma szerszy zasięg – działa na wielu kontynentach i został zaobserwowany także na terytorium Polski. Jest używany do ataków typu DDoS oraz do prób zalogowania się metodą brute force (ma listę loginów i haseł, którymi próbuje się włamać do systemu celu). Szczyt jego aktywności przypadł na 21 i 22 października, ale nie oznacza to, że nie może zostać ponownie uruchomiony przez administratorów.
Routery D-Link mają stare luki
Botnety, o których mowa, rozprzestrzeniają się przez luki bezpieczeństwa w oprogramowaniu routerów D-Link. Przy tym producent ułatwia cyberprzestępcom działanie, bo są to luki znane od dawna. Błąd interfejsu HNAP (Home Network Administration Protocol) został opisany po raz pierwszy prawie 10 lat temu! W międzynarodowej bazie błędów CVE można znaleźć zgłoszenia między innymi z lat 2015, 2019, 2022 i 2024.
Luka jest łatana przez producenta i wydawane są aktualizacje systemu. Mimo tego błąd jest obecny na wielu urządzeniach z różnych generacji. Właściciele nie aktualizują swoich urządzeń, a warto wiedzieć, że część z nich to profesjonalne sprzęty, pracujące zapewne w dużych firmach.
