Nowa kampania Mirai wykorzystuje lukę RCE w wycofanych routerach D-Link - Security Bez Tabu

Nowa kampania Mirai wykorzystuje lukę RCE w wycofanych routerach D-Link

Cybersecurity news

Wprowadzenie do problemu / definicja

Botnet Mirai ponownie znalazł się w centrum uwagi specjalistów ds. cyberbezpieczeństwa. Tym razem operatorzy kampanii wykorzystują podatność CVE-2025-29635 w routerach D-Link DIR-823X, aby zdalnie wykonywać polecenia na urządzeniach i włączać je do infrastruktury atakującego. Problem jest szczególnie poważny, ponieważ dotyczy sprzętu wycofanego z aktywnego wsparcia producenta.

Luka ma charakter command injection i umożliwia przejęcie kontroli nad podatnym urządzeniem przez odpowiednio spreparowane żądanie HTTP POST. W praktyce oznacza to, że router wystawiony na internet może zostać bardzo szybko skompromitowany i wykorzystany jako element botnetu.

W skrócie

Atakujący aktywnie eksploatują podatność CVE-2025-29635 w routerach D-Link DIR-823X. Zaobserwowany scenariusz prowadzi do pobrania skryptu powłoki, a następnie wdrożenia wariantu Mirai określanego jako „tuxnokill”.

  • Wektor ataku opiera się na zdalnym wykonaniu poleceń przez podatny endpoint administracyjny.
  • Kampania została zaobserwowana w ruchu honeypotów w marcu 2026 roku.
  • Po infekcji router może zostać wykorzystany do ataków DDoS i dalszego rozprzestrzeniania malware.
  • W działaniach operatora widoczne są także próby ataków na wybrane urządzenia TP-Link i ZTE.

Kontekst / historia

Mirai od lat pozostaje jedną z najbardziej rozpoznawalnych rodzin malware wymierzonych w urządzenia IoT oraz routery klasy SOHO. Siła tego botnetu wynika z prostego, ale skutecznego modelu działania: skanowanie internetu, identyfikacja podatnych urządzeń, ich przejęcie i szybkie dołączenie do botnetu.

W przypadku CVE-2025-29635 problem dotyczy routerów D-Link DIR-823X, w tym wskazanych wersji firmware 240126 oraz 240802. Choć sama podatność była już wcześniej znana, dopiero teraz zaobserwowano jej aktywne wykorzystanie na większą skalę. Dodatkowym czynnikiem zwiększającym ryzyko jest status end-of-life tych urządzeń, co oznacza brak gwarancji wydania poprawek bezpieczeństwa.

Analiza techniczna

Źródłem problemu jest niewłaściwa walidacja danych wejściowych w funkcji obsługującej żądania kierowane do endpointu /goform/set_prohibiting. Odpowiednio przygotowane żądanie POST może doprowadzić do wstrzyknięcia komend systemowych i ich wykonania na urządzeniu.

Zaobserwowany łańcuch infekcji odpowiada typowym schematom działań botnetów Mirai. Po skutecznym wykorzystaniu luki atakujący przemieszczają się pomiędzy zapisywalnymi katalogami systemu, pobierają skrypt dlink.sh, uruchamiają go i wdrażają właściwy ładunek malware w wersjach dostosowanych do różnych architektur sprzętowych.

Wariant „tuxnokill” zachowuje charakterystyczne możliwości rodziny Mirai. Obejmuje między innymi mechanizmy generowania ruchu DDoS z wykorzystaniem floodów TCP, UDP oraz technik ukierunkowanych na warstwę HTTP. To oznacza, że przejęte routery mogą zostać wykorzystane zarówno do dalszych infekcji, jak i do zakłócania dostępności usług online.

Warto podkreślić, że operator kampanii nie ogranicza się do jednego wektora wejścia. W obserwacjach wskazano również aktywność związaną z innymi podatnościami, między innymi w urządzeniach TP-Link oraz ZTE. Taka wielowektorowa strategia zwiększa skalę zagrożenia i utrudnia skuteczne ograniczenie kampanii jedynie przez zablokowanie jednego typu eksploatacji.

Konsekwencje / ryzyko

Kompromitacja routera brzegowego może mieć znacznie poważniejsze skutki niż samo dołączenie urządzenia do botnetu. Atakujący zyskują możliwość wpływania na ruch sieciowy, zmian konfiguracji DNS, modyfikacji ustawień administracyjnych czy przekierowania komunikacji użytkowników.

W środowiskach firmowych ryzyko rośnie szczególnie wtedy, gdy starsze urządzenia pozostają poza formalną inwentaryzacją lub nie są objęte procesem zarządzania poprawkami. Takie routery często działają latami jako sprzęt pomocniczy, a jednocześnie pozostają wystawione do internetu poprzez zdalne interfejsy administracyjne.

Dodatkowym zagrożeniem jest niski koszt operacyjny ataku. W przypadku podatności typu command injection nie jest zwykle potrzebny skomplikowany łańcuch exploitów ani udział użytkownika końcowego. Jeśli urządzenie jest dostępne z internetu i spełnia warunki podatności, jego przejęcie może nastąpić automatycznie.

Rekomendacje

Najskuteczniejszym działaniem ochronnym pozostaje wymiana podatnych routerów na modele nadal objęte wsparciem producenta. W przypadku urządzeń end-of-life samo utwardzenie konfiguracji zwykle nie daje wystarczającego poziomu bezpieczeństwa.

  • Wyłączyć zdalny panel administracyjny dostępny z internetu.
  • Ograniczyć dostęp do interfejsów zarządzania do zaufanych adresów IP lub segmentów sieci.
  • Zmienić domyślne hasła i zweryfikować wszystkie konta administracyjne.
  • Skontrolować ustawienia DNS, NAT oraz przekierowania portów pod kątem nieautoryzowanych zmian.
  • Monitorować ruch wychodzący routerów w poszukiwaniu anomalii i połączeń do podejrzanych hostów.
  • Prowadzić pełną inwentaryzację urządzeń brzegowych wraz ze statusem wsparcia producenta.
  • Wdrożyć reguły IPS/IDS wykrywające próby eksploatacji endpointów administracyjnych.

Jeżeli istnieje podejrzenie kompromitacji, nie należy ograniczać się wyłącznie do restartu urządzenia. Konieczna jest analiza konfiguracji, weryfikacja logów, zmiana danych uwierzytelniających i, jeśli to możliwe, definitywna wymiana sprzętu.

Podsumowanie

Kampania wykorzystująca CVE-2025-29635 potwierdza, że wycofane routery nadal pozostają atrakcyjnym celem dla operatorów botnetów Mirai. Połączenie publicznie znanej luki typu command injection, aktywnej eksploatacji i braku wsparcia producenta tworzy scenariusz wysokiego ryzyka dla użytkowników domowych i organizacji.

Dla administratorów wniosek jest jednoznaczny: sprzęt sieciowy bez aktualnego wsparcia bezpieczeństwa powinien być traktowany jako aktywo podwyższonego ryzyka i wymieniany priorytetowo, zanim stanie się elementem ataku DDoS lub punktem wejścia do dalszej kompromitacji sieci.

Źródła

  1. BleepingComputer — https://www.bleepingcomputer.com/news/security/new-mirai-campaign-exploits-rce-flaw-in-eol-d-link-routers/
  2. NVD: CVE-2025-29635 — https://nvd.nist.gov/vuln/detail/CVE-2025-29635
  3. Akamai — CVE-2025-29635: Mirai Campaign Targets D-Link Devices — https://www.akamai.com/blog/security-research/cve-2025-29635-mirai-campaign-targets-d-link-devices
  4. CVE Program / MITRE: CVE-2025-29635 — https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-29635