Uma nova campanha de malware baseada no Mirai está explorando ativamente a
CVE-2025-29635
, uma vulnerabilidade de injeção de comandos de alta gravidade que afeta roteadores D-Link DIR-823X, para recrutar dispositivos para uma botnet.
A falha permite que um invasor execute comandos arbitrários em dispositivos remotos por meio do envio de uma requisição POST para um endpoint vulnerável, o que pode resultar em execução remota de código (RCE).
O time de resposta a incidentes da Akamai, que identificou a campanha em março de 2026, informou que, embora a vulnerabilidade tenha sido divulgada há 13 meses pelos pesquisadores Wang Jinshuai e Zhao Jiangting, esta é a primeira vez que uma exploração ativa em ambiente real é observada.
“O Akamai SIRT descobriu tentativas ativas de exploração da vulnerabilidade de injeção de comandos da D-Link,
CVE-2025-29635
, em nossa rede global de honeypots no início de março de 2026”, diz o relatório da empresa.
“Essa vulnerabilidade existe em roteadores da série D-Link DIR-823X nas versões de firmware 240126 e 24082 e permite que um atacante execute comandos arbitrários ao enviar uma requisição POST para o endpoint /goform/set_prohibiting, o que pode resultar em execução remota de código.”
Os pesquisadores que descobriram a falha publicaram brevemente um código de prova de conceito (PoC) no GitHub, mas depois o removeram.
As observações da Akamai mostram que os atacantes estão enviando requisições POST que alteram diretórios em caminhos graváveis, baixam um script de shell chamado “dlink.sh” de um IP externo e o executam.
Esse script instala um malware baseado no Mirai chamado tuxnokill, com suporte a múltiplas arquiteturas.
Em termos de capacidade, ele reúne os recursos padrão do Mirai para ataques de negação de serviço distribuída (DDoS), incluindo técnicas como TCP SYN/ACK/STOMP, inundações UDP e requisições HTTP vazias.
A Akamai também identificou que o mesmo ator de ameaça por trás dessa campanha explora a
CVE-2023-1389
, que afeta roteadores TP-Link, além de outra falha de execução remota de código em roteadores ZTE ZXV10 H108L.
O mesmo padrão de ataque foi observado em todos os casos, resultando na instalação de cargas maliciosas baseadas no Mirai.
Os dispositivos afetados chegaram ao fim de vida útil (EoL) em novembro de 2024.
Por isso, é provável que o firmware mais recente disponível para o modelo não corrija a
CVE-2025-29635
.
A D-Link não costuma fazer exceções quando há exploração ativa detectada, então é improvável que a fabricante disponibilize uma correção.
Enquanto isso, usuários de roteadores fora de suporte são recomendados a migrar para modelos mais novos com atualizações de segurança ativas, desativar o acesso remoto ao painel administrativo quando não for necessário, alterar senhas padrão e monitorar mudanças inesperadas na configuração.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...