CERT Polska na swojej stronie ostrzega posiadaczy routerów firmy D-Link o możliwości ich masowej infekcji. W Internecie pojawił się nowy botnet składający się z routerów produkowanych przez D-Link. Prawdopodobnie do infekcji sprzętu wykorzystywana jest luka w oprogramowaniu BusyBox, kierowanym do niewielkich dystrybucji linuksowych.
Routery zostają zaatakowane poprzez port 23 (TCP) i po przejęciu zaczynają wykonywać polecenia płynące z serwerów zarządzających botnetem. Na chwilę obecną nie jest znany kod exploita powodującego przejęcie routerów, ale wiadomo, że narażony na atak jest wyłącznie sprzęt wykorzystujący oprogramowanie BusyBox.
Aktualnie nie ma jednoznacznie zdefiniowanych procedur obronnych. Zaleca się filtrowanie wszystkich połączeń płynących na port 23 i umożliwienie dostępu do routera tylko z poziomu lokalnej sieci LAN. Warto także zaznaczyć, że 25 marca zostały opublikowane podatności pozwalające na wykonanie dowolnego kodu na routerze i zdestabilizowanie jego pracy. Urządzenia mogą zostać zaatakowane poprzez wejście na odpowiednio spreparowaną stronę lub za pomocą zmodyfikowanego URLa. Chociaż podatności te prawdopodobnie nie są przyczyną obecnych ataków, ale mogą stwarzać realne niebezpieczeństwo w najbliższym czasie.
