Noua campanie Mirai exploatează o vulnerabilitate de tip RCE în routerele EoL D-Link
Sursă: https://www.bleepingcomputer.com
O nouă campanie de malware bazată pe Mirai exploatează în mod activ CVE-2025-29635, o vulnerabilitate cu grad de severitate high de tip command-injection ce afectează routerele D-Link DIR-823X, pentru a înrola dispozitive în botnet.
CVE-2025-29635 permite unui atacator să execute comenzi arbitrare pe dispozitive la distanță prin trimiterea unei cereri POST către un endpoint vulnerabil, declanșând executarea de comenzi la distanță (RCE).
Această vulnerabilitate există în routerele din seria D-Link DIR-823X cu versiunile de firmware 240126 și 24082 și permite unui atacator autorizat să execute comenzi arbitrare pe dispozitive la distanță prin trimiterea unei cereri POST către endpoint-ul /goform/set_prohibiting prin intermediul funcției corespunzătoare, care poate declanșa executarea de comenzi la distanță, au semnalat specialiștii.
Din observațiile specialiștilor reiese că atacatorii trimit cereri POST care modifică directoarele în diverse locații cu permisiuni de scriere, descarcă un script shell (dlink.sh) de pe o adresă IP externă și îl execută.
Scriptul instalează un malware bazat pe Mirai, denumit tuxnokill, care este compatibil cu mai multe arhitecturi.
În ceea ce privește capacitățile, acesta include repertoriul standard de atacuri de tip distributed denial-of-service (DDoS) al Mirai, inclusiv TCP SYN/ACK/STOMP, UDP floods și HTTP null.
De asemenea, specialiștii au identificat faptul că atacatorul din spatele acestei campanii exploatează și vulnerabilitatea CVE-2023-1389, care afectează routerele TP-Link, precum și o vulnerabilitate RCE separată în routerele ZTE ZXV10 H108L. Același tipar de atac a fost observat în toate cazurile, ducând la implementarea unui payload Mirai.
Dispozitivele afectate au ajuns la sfârșitul duratei de utilizare (EoL) în noiembrie 2024, astfel încât este probabil ca cea mai recentă versiune de firmware disponibilă pentru acest model să nu remedieze vulnerabilitatea CVE-2025-29635. D-Link nu face excepții atunci când se detectează exploatarea activă a vulnerabilității, așa că este puțin probabil ca producătorul să ofere un patch de remediere în acest moment.
Între timp, utilizatorilor de routere care au ajuns la sfârșitul duratei de utilizare (EoL) li se recomandă să treacă la un model mai nou, care beneficiază de asistență activă și de actualizări frecvente de securitate, să dezactiveze portalurile de administrare la distanță dacă nu sunt necesare, să schimbe parolele de administrator implicite și să monitorizeze eventualele modificări neașteptate ale configurației.
Sursă: https://www.bleepingcomputer.com/news/security/new-mirai-campaign-exploits-rce-flaw-in-eol-d-link-routers/
