New Mirai campaign exploits RCE flaw in EoL D-Link routers
Mis à jour :
Campagne Mirai ciblant les routeurs D-Link en fin de vie
Une nouvelle campagne de malware basée sur Mirai, baptisée « tuxnokill », exploite activement une faille critique de type exécution de commande à distance (RCE) sur les routeurs D-Link de la série DIR-823X. Bien que cette vulnérabilité soit connue depuis plus d’un an, des attaques « in-the-wild » ont été détectées pour la première fois en mars 2026 par les chercheurs d’Akamai.
Points clés :
- Mode opératoire : Les attaquants envoient des requêtes POST malveillantes vers le point de terminaison
/goform/set_prohibitingpour télécharger et exécuter un script shell (dlink.sh). - Charge utile : Le malware Mirai déployé permet de mener des attaques par déni de service distribué (DDoS), notamment des inondations TCP, UDP et HTTP.
- Cibles multiples : La même infrastructure d’attaque exploite également des vulnérabilités sur des routeurs TP-Link (CVE-2023-1389) et ZTE.
- Obsolescence : Les modèles D-Link impactés sont en fin de vie (EoL) depuis novembre 2024, rendant improbable la publication d’un correctif par le constructeur.
Vulnérabilités :
- CVE-2025-29635 : Faille d’injection de commande dans les routeurs D-Link DIR-823X (firmwares 240126 et 24082).
- CVE-2023-1389 : Faille exploitée parallèlement sur certains routeurs TP-Link.
Recommandations :
- Remplacement matériel : Étant donné que les appareils sont en fin de vie et ne recevront plus de mises à jour de sécurité, il est fortement conseillé de remplacer les routeurs par des modèles bénéficiant d’un support actif.
- Durcissement de la configuration :
- Désactiver les interfaces d’administration distante si elles ne sont pas strictement nécessaires.
- Modifier les mots de passe administrateur par défaut.
- Surveiller les journaux système pour détecter des changements de configuration suspects.