Er is een piek in aanvallen op wifi-routers van fabrikant D-Link die end-of-life zijn, zo meldt securitybedrijf Fortinet op basis van eigen telemetrie. Aanvallers maken misbruik van bekende kwetsbaarheden om via de HNAP (Home Network Administration Protocol) interface malafide commando's op het apparaat uit te voeren, waarmee malware wordt geïnstalleerd. De afgelopen jaren zijn meerdere kwetsbaarheden in HNAP aangetroffen waar nu misbruik van wordt gemaakt Het gaat onder andere om een beveiligingslek uit 2015.

De afgelopen weken zag Fortinet naar eigen zeggen een piek in aanvallen van twee botnets genaamd Capsaicin en Ficora. Deze laatste malware is een variant van de bekende Mirai-malware. Eenmaal geïnstalleerd kan de malware besmette routers gebruiken om naar andere kwetsbare apparaten te zoeken of ddos-aanvallen uit te voeren. De Ficora-malware gebruikt naast de HNAP-kwetsbaarheden ook een lijst met ruim zeventig wachtwoorden en zo'n twintig gebruikersnamen om op routers in te loggen.

Fortinet stelt dat de aanvallen gericht zijn tegen de D-Link DIR-645, D-Link DIR-806, D-Link GO-RT-AC750 en D-Link DIR-845. Deze routers zijn al jaren end-of-life en worden niet meer door D-Link met beveiligingsupdates ondersteund. De fabrikant adviseert eigenaren van end-of-life apparatuur die te vervangen en niet meer te gebruiken.