La publication d’une mise à jour de sécurité ne signifie pas nécessairement la fin des attaques qui l’exploitent : encore faut-il que le correctif soit massivement déployé… tel est en substance le constat opéré par les chercheurs en sécurité de Fortinet, après avoir constaté la recrudescence d’attaques relatives à d’anciennes failles de sécurité, ciblant des routeurs populaires de la marque D-Link, alors que ces dernières ont été corrigées depuis près de dix ans.
« FortiGuard Labs a constaté une augmentation de l’activité de deux botnets différents en octobre et novembre 2024 », indique l’éditeur. Ces deux botnets – des réseaux de machines infectées à l’insu de leur propriétaire, utilisées ensuite dans un second temps, par exemple pour mener des attaques par déni de service – se présentent comme de vieilles connaissances.
Le premier, baptisé Ficora, est une variante de Mirai, un botnet qui avait défrayé la chronique en 2016, en alimentant une attaque dirigée contre l’infrastructure de Dyn, un prestataire chargé de la gestion de la zone DNS de nombreux sites américains. Le second, surnommé Capsaicin, n’est quant à lui qu’une énième variante d’un malware historique, Kaiten, conçu pour cibler l’environnement logiciel des routeurs.
Via ses outils de télémétrie, Fortinet explique avoir mesuré plusieurs pics d’activité lié à ces deux botnets. Pour Ficora, l’éditeur signale une attaque partie de serveurs basés aux Pays-bas, et des incidents répertoriés dans le monde entier, ce qui laisse supposer à ses chercheurs une attaque de type pêche au chalut, sans que ne soit visé une région du monde ou un pays particulier. L’attaque liée à Capscaicin est quant à elle centrée sur l’Asie du Sud-Est, remarque Fortinet, sans en tirer de conclusion particulière.
Le vecteur d’attaque se révèle quant à lui bien spécifique. « Ces botnets se propagent fréquemment via des vulnérabilités D-Link documentées qui permettent aux attaquants distants d’exécuter des commandes malveillantes via une action GetDeviceSettings sur l’interface HNAP (Home Network Administration Protocol) », indique Fortinet, qui rappelle que certaines de ces vulnérabilités (CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 et CVE-2024-33112) ont été dévoilées il y a près de dix ans.
Parmi les routeurs susceptibles d’être touchés, Fortinet évoque le D-Link DIR-645 avec un firmware 1.04b12 ou version antérieure, le D-Link DIR-806, le D-Link GO-RT-AC750 en revA_v101b03, le GO-RT-AC750 en revB Wv200b02 ou le D-Link DIR-845L en version v1.01KRb03 et antérieures. Des modèles anciens, considérés comme « en fin de vie » par le fabricant, qui n’en assure donc plus le support. Si, du côté de l’éditeur, on invite à se tourner vers des solutions logicielles dédiées à la sécurité, le fabricant préconise quant à lui de remplacer les appareils concernés.
« D-Link recommande de cesser d’utiliser ces produits et prévient que leur utilisation continue peut présenter des risques pour les autres appareils qui y sont connectés. Si vous choisissez de continuer à utiliser ces appareils, assurez-vous qu’ils sont mis à jour avec la dernière version connue du micrologiciel […]. De plus, les utilisateurs doivent fréquemment mettre à jour le mot de passe unique d’accès à la configuration Web de l’appareil et toujours activer le chiffrement Wi-Fi avec un mot de passe fort et unique », indique le fabricant dans ses propres bulletins de sécurité relatifs à des appareils anciens.