Новая вредоносная кампания на базе Mirai активно эксплуатирует уязвимость CVE-2025-29635 — критическую ошибку внедрения команд в маршрутизаторах D-Link серии DIR-823X. Основной целью атак является подключение устройств к ботнету.
Уязвимость CVE-2025-29635 позволяет злоумышленнику выполнять произвольные команды на удаленных устройствах, отправляя POST-запрос на уязвимый эндпоинт, что приводит к удаленному выполнению кода.
По данным команды реагирования на инциденты Akamai (SIRT), обнаружившей кампанию в марте 2026 года, несмотря на то что уязвимость была раскрыта 13 месяцев назад исследователями Ван Цзиньшуай (Wang Jinshuai) и Чжао Цзянтин (Zhao Jiangting), это первый зафиксированный случай ее активной эксплуатации в реальных атаках.
В отчете говорится:
Akamai SIRT зафиксировала активные попытки эксплуатации уязвимости внедрения команд CVE-2025-29635 в устройствах D-Link в своей глобальной сети honeypot в начале марта 2026 года.
Уязвимость присутствует в маршрутизаторах D-Link серии DIR-823X с версиями прошивки 240126 и 24082 и позволяет авторизованному злоумышленнику выполнять произвольные команды на удаленных устройствах путем отправки POST-запроса к эндпоинту /goform/set_prohibiting через соответствующую функцию, что приводит к удаленному выполнению кода.
Исследователи, обнаружившие уязвимость, ранее кратковременно опубликовали proof-of-concept (PoC)-эксплойт на GitHub, но затем удалили его.
Наблюдения Akamai показывают, что злоумышленники отправляют POST-запросы, меняют директории в доступных для записи путях, загружают shell-скрипт (dlink.sh) с внешнего IP-адреса и выполняют его.
Скрипт устанавливает вредоносное ПО на базе Mirai под названием tuxnokill, поддерживающее несколько архитектур. По своим возможностям оно включает стандартный набор атак распределенного отказа в обслуживании (DDoS), характерный для Mirai: TCP SYN/ACK/STOMP, UDP-флуды и HTTP null.
В Akamai также обнаружили, что злоумышленник, стоящий за этой кампанией, эксплуатирует уязвимость CVE-2023-1389, затрагивающую роутеры TP-Link, а также отдельную уязвимость удаленного выполнения кода в маршрутизаторах ZTE ZXV10 H108L. Во всех случаях наблюдался одинаковый шаблон атак, приводящий к загрузке полезной нагрузки Mirai.
Затронутые устройства достигли стадии окончания жизненного цикла в ноябре 2024 года, поэтому, вероятно, последняя доступная версия прошивки не устраняет CVE-2025-29635. В D-Link не делают исключений даже при наличии активной эксплуатации, поэтому выпуск исправления маловероятен.
Пользователям маршрутизаторов, поддержка которых завершилась, рекомендуется перейти на более новую модель с активной поддержкой и регулярными обновлениями безопасности, отключить удаленное администрирование при отсутствии необходимости, сменить стандартные пароли администратора и отслеживать возможные несанкционированные изменения конфигурации устройства.