Nowa kampania Mirai wykorzystuje lukę RCE w wycofanych routerach D-Link DIR-823X - Security Bez Tabu

Nowa kampania Mirai wykorzystuje lukę RCE w wycofanych routerach D-Link DIR-823X

Cybersecurity news

Wprowadzenie do problemu / definicja

Aktywnie prowadzona kampania malware oparta na botnecie Mirai wykorzystuje podatność CVE-2025-29635 w routerach D-Link DIR-823X. Problem dotyczy urządzeń, które osiągnęły status end-of-life, czyli nie są już objęte wsparciem producenta i mogą nie otrzymać poprawek bezpieczeństwa.

Luka umożliwia zdalne wykonanie poleceń na urządzeniu, co w praktyce oznacza możliwość przejęcia kontroli nad routerem, uruchomienia złośliwego kodu oraz dołączenia sprzętu do botnetu. To szczególnie groźne w przypadku urządzeń brzegowych, które stanowią pierwszy punkt styku sieci lokalnej z Internetem.

W skrócie

  • Atakujący wykorzystują podatność typu command injection w routerach D-Link DIR-823X.
  • Eksploatacja odbywa się przez spreparowane żądania POST do podatnego endpointu administracyjnego.
  • Po skutecznym ataku urządzenie pobiera skrypt i instaluje wariant Mirai określany jako „tuxnokill”.
  • Zainfekowane routery mogą zostać użyte do ataków DDoS oraz dalszej kompromitacji ruchu sieciowego.
  • Największe ryzyko dotyczy faktu, że celem są urządzenia wycofane ze wsparcia.

Kontekst / historia

Mirai od lat pozostaje jedną z najbardziej rozpoznawalnych rodzin malware wymierzonych w urządzenia IoT i sprzęt sieciowy. Jego skuteczność opiera się na automatycznym skanowaniu Internetu w poszukiwaniu słabo zabezpieczonych, źle skonfigurowanych lub nieaktualizowanych urządzeń.

Routery, kamery IP, rejestratory i inne systemy embedded często działają przez wiele lat bez właściwego cyklu aktualizacji. To sprawia, że po publicznym ujawnieniu podatności stają się łatwym i trwałym celem dla operatorów botnetów. W przypadku modeli D-Link DIR-823X dodatkowym problemem jest status end-of-life, który znacząco ogranicza możliwość klasycznego ograniczania ryzyka przez wdrożenie poprawek.

Analiza techniczna

CVE-2025-29635 została opisana jako podatność command injection prowadząca do zdalnego wykonania kodu. Wektor ataku opiera się na wysłaniu żądania POST do endpointu /goform/set_prohibiting, gdzie niewystarczająca walidacja danych wejściowych pozwala na wstrzyknięcie poleceń systemowych.

Po skutecznym wykorzystaniu luki atakujący uruchamiają sekwencję komend umożliwiających przejście do zapisywalnych katalogów, pobranie zewnętrznego skryptu oraz jego wykonanie. Następnie instalowany jest wieloarchitektoniczny ładunek Mirai, co pozwala infekować różne platformy sprzętowe spotykane w urządzeniach sieciowych.

Wariant malware określany jako „tuxnokill” rozszerza funkcjonalność przejętego urządzenia o typowe mechanizmy wykorzystywane przez Mirai. Obejmują one generowanie ruchu TCP, UDP i HTTP wykorzystywanego w atakach DDoS. Choć pojedynczy router ma ograniczone możliwości, skala kampanii sprawia, że tysiące przejętych urządzeń mogą utworzyć znaczącą infrastrukturę atakującą.

Analizy wskazują także, że ta sama lub powiązana infrastruktura mogła wykorzystywać inne znane podatności RCE w urządzeniach różnych producentów. Sugeruje to wysoki poziom automatyzacji działań, obejmujący skanowanie publicznych adresów IP, identyfikację podatnego sprzętu i wdrażanie jednolitego ładunku malware.

Konsekwencje / ryzyko

Najbardziej bezpośrednim skutkiem kompromitacji jest włączenie routera do botnetu DDoS. Jednak zagrożenie nie ogranicza się wyłącznie do udziału w atakach na zewnętrzne cele. Przejęty router może również stać się narzędziem do manipulowania ruchem sieciowym i osłabiania bezpieczeństwa całego środowiska.

  • zmiana konfiguracji sieciowej urządzenia,
  • modyfikacja ustawień DNS,
  • przechwytywanie lub przekierowywanie ruchu,
  • utrzymywanie trwałego dostępu do warstwy brzegowej sieci,
  • ułatwienie dalszego rozpoznania i ataków na hosty wewnętrzne.

W środowiskach domowych może to prowadzić do przekierowywania użytkowników na złośliwe domeny, spadku wydajności łącza i utraty kontroli nad urządzeniem. W organizacjach ryzyko jest większe, ponieważ router graniczny może pełnić rolę punktu wejścia do dalszych działań przeciwko infrastrukturze, zwłaszcza w małych biurach, oddziałach i środowiskach SOHO.

Status end-of-life dodatkowo pogarsza sytuację. Jeżeli producent nie zapewnia już aktualizacji bezpieczeństwa, podatność może pozostać obecna aż do fizycznej wymiany sprzętu. W praktyce oznacza to, że klasyczny patch management nie wystarcza i konieczne staje się planowanie wycofania urządzeń z eksploatacji.

Rekomendacje

Najważniejszym działaniem obronnym jest wymiana routerów D-Link DIR-823X na modele objęte aktywnym wsparciem producenta. W przypadku urządzeń EoL jest to najskuteczniejszy sposób ograniczenia ryzyka, zwłaszcza gdy podatność jest już wykorzystywana w realnych kampaniach.

Do czasu wymiany warto wdrożyć dodatkowe środki bezpieczeństwa:

  • wyłączyć zdalny panel administracyjny, jeśli nie jest niezbędny,
  • ograniczyć dostęp do interfejsu zarządzania do zaufanych adresów lub segmentów,
  • zmienić domyślne hasła i stosować silne, unikalne poświadczenia,
  • monitorować ustawienia DNS, NAT i przekierowania portów,
  • sprawdzać nietypowe połączenia wychodzące inicjowane przez router,
  • analizować logi zapór oraz systemów IDS/IPS,
  • segmentować starsze urządzenia od krytycznych zasobów wewnętrznych,
  • prowadzić inwentaryzację sprzętu z uwzględnieniem statusu wsparcia producenta.

Z perspektywy zespołów SOC i administratorów istotne jest również przygotowanie reguł detekcji dla nietypowych żądań POST do paneli zarządzania, prób pobierania skryptów infekujących oraz oznak wychodzącej aktywności DDoS. W przypadku podejrzenia kompromitacji należy założyć naruszenie integralności urządzenia i rozważyć jego pełną wymianę, a nie jedynie reset konfiguracji.

Podsumowanie

Nowa kampania Mirai pokazuje, że niewspierane routery pozostają jednym z najłatwiejszych celów dla operatorów botnetów IoT. Wykorzystanie CVE-2025-29635 w urządzeniach D-Link DIR-823X umożliwia szybkie przejęcie sprzętu i użycie go do działań ofensywnych, w tym ataków DDoS.

Dla administratorów wniosek jest jednoznaczny: urządzenia sieciowe pozbawione wsparcia producenta należy traktować jako aktywa wysokiego ryzyka. W obliczu aktywnej eksploatacji nie wystarczy ograniczanie ekspozycji — konieczna jest planowana i możliwie szybka wymiana sprzętu.

Źródła

  1. BleepingComputer – New Mirai campaign exploits RCE flaw in EoL D-Link routers — https://www.bleepingcomputer.com/news/security/new-mirai-campaign-exploits-rce-flaw-in-eol-d-link-routers/
  2. NVD – CVE-2025-29635 Detail — https://nvd.nist.gov/vuln/detail/CVE-2025-29635