Устаревшие маршшрутизаторы D‑Link атакуют через уязвимость внедрения команд: ботнет Mirai подбирается к непропатченным устройствам

Согласно данным, которые аналитики Akamai получили из глобальной сети ловушек (honeypot), первая волна эксплуатации CVE‑2025‑29635 была зафиксирована в начале марта 2026 года. Сама уязвимость была раскрыта ещё в марте 2025 года китайскими исследователями Ван Цзиньшуай и Чжао Цзянтин. Она относится к типу command injection (внедрение команд) и затрагивает маршрутизаторы D‑Link DIR‑823X с версиями прошивок 240126 и 24082. Производитель прекратил выпуск и поддержку этих устройств в сентябре 2025 года, поэтому патчей для них не существует.

Технически проблема кроется в обработке POST‑запроса к эндпоинту /goform/set_prohibiting. В уязвимой версии прошивки значение параметра macaddr копируется в командную строку через функцию snprintf, после чего исполняется системным вызовом. Злоумышленник может подставить произвольную команду, и она будет выполнена с привилегиями устройства. Исследователи опубликовали доказательство концепции (PoC) на GitHub, но позже удалили его. Однако вредоносный код уже разошёлся по сети.

Важно, что атакующий не обязан передавать именно поле macaddr. Как выяснили специалисты Akamai, прошивка не проверяет, из какого поля берётся значение для командного буфера. В ходе атаки злоумышленник отправляет POST‑запрос, где в теле указан произвольный ключ (например, parameter), а значение содержит цепочку shell‑команд. Команда сообщили в отчёте Akamai, что такой подход полностью обходит требование аутентификации - токены и сессионные идентификаторы не нужны.

После получения доступа к роутеру атакующий загружает shell‑скрипт с сервера 88.214.20[.]14. Скрипт, в свою очередь, скачивает исполняемый файл вредоносной нагрузки под названием "tuxnokill". Это типичный вариант ботнета Mirai, зашифрованный простым XOR‑ключом 0x30. Вредоносная программа содержит жёстко прописанные строки, включая фразу "segmentation fault (core dumped)" и адрес C2‑сервера (управления и командования) 64.89.161[.]130 на порту 44300. Интересная деталь: внутри кода обнаружилась строка "AI.NEEDS.TO.DIE". По мнению аналитиков, атакующий, вероятно, относится к ИИ с неприязнью и предпочитает писать вредоносное ПО вручную, без помощи генеративных моделей.

Собранный ботнет способен выполнять широкий спектр DDoS‑атак: TCP STOMP, TCP ACK, TCP SYN, UDP DNS, UDP GENERIC, XMAS и другие. Команды загружаются с C2 и исполняются на заражённых устройствах. При этом атакующий не ограничивается только D‑Link. В ловушках Akamai были замечены попытки эксплуатировать ещё две уязвимости: CVE‑2023‑1389 в маршрутизаторах TP‑Link Archer AX21 и неуказанную уязвимость удалённого выполнения кода в ZTE ZXV10 H108L. Все атаки используют один и тот же сервер для загрузки вредоносных скриптов и схожий набор команд. Это говорит о том, что злоумышленник последовательно ищет непропатченные или устаревшие устройства, которые легко взломать с помощью готовых эксплойтов.

Для конечных пользователей и малого бизнеса ситуация осложняется тем, что производители уже прекратили выпуск обновлений для DIR‑823X. Единственный надёжный способ защиты - заменить такие роутеры на актуальные модели, которые получают регулярные исправления. Если замена невозможна, следует ограничить доступ к веб‑интерфейсу устройства из внешних сетей, настроить межсетевой экран и отключить ненужные сервисы. Организациям стоит регулярно проверять свои инфраструктуры на наличие уязвимостей (CVE), соотносить их с версиями прошивок и своевременно выводить из эксплуатации технику, для которой больше нет обновлений безопасности.

Киберпреступники продолжают использовать старые, но эффективные техники. Mirai остаётся одним из самых распространённых типов ботнетов благодаря низкому порогу входа и доступности исходного кода. Атаки на устаревшие устройства - обычная практика, поэтому игнорирование жизненного цикла оборудования грозит не только простоем сети, но и потерей данных или вовлечением в крупные DDoS‑кампании. Внимательный мониторинг бюллетеней безопасности и своевременная замена уязвимой техники - единственный способ не стать частью ботнета.

IPv4

• 64.89.161.130
• 88.214.20.14

SHA256

• 32ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100
• 72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8
• 7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8
• be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b
• d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7