Botnet Mirai nhắm vào lỗi bảo mật trên router D-Link đã ngừng hỗ trợ
Akamai phát hiện botnet Mirai đang tích cực khai thác lỗ hổng tiêm lệnh CVE-2025-29635 trên các bộ định tuyến D-Link DIR-823X đã ngừng sản xuất. Do nhà sản xuất không còn cung cấp bản vá, người dùng được khuyến cáo thay thế thiết bị ngay lập tức để tránh rủi ro an ninh mạng.
Botnet Mirai đang tích cực khai thác một lỗ hổng bảo mật nghiêm trọng trên các bộ định tuyến D-Link đã ngừng sản xuất, biến chúng thành công cụ cho các cuộc tấn công từ chối dịch vụ (DDoS).
Theo báo cáo mới đây từ Akamai, nhóm tấn công đang nhắm vào lỗ hổng CVE-2025-29635, một lỗi tiêm lệnh (command injection) tồn tại trong các dòng router D-Link DIR-823X. Lỗi này xuất hiện do router sao chép giá trị hàm do kẻ tấn công kiểm soát mà không thực hiện xác thực, cho phép thực thi mã độc thông qua các yêu cầu POST được tạo đặc biệt.
Botnet Mirai
Chi tiết kỹ thuật và phương thức tấn công
Akamai nhận thấy rằng các nỗ lực khai thác hiện tại sử dụng cùng một đoạn mã và kích hoạt lệnh hệ thống giống như một mã khai thác bằng chứng khái niệm (PoC) từng được công bố trên GitHub vào năm ngoái. Mặc dù mã PoC đó đã bị gỡ bỏ, nhưng các tội phạm mạng đã kịp thời tận dụng nó để phát động tấn công.
Quy trình thực thi của cuộc tấn công bao gồm việc tải một shell script về thiết bị. Script này sau đó tải xuống và chạy một payload mang nhiều đặc điểm nhận dạng của phần mềm độc hại Mirai, bao gồm mã hóa XOR, chuỗi thực thi bảng điều khiển được mã hóa cứng và địa chỉ IP của trình tải xuống.
Nguy cơ từ thiết bị ngừng hỗ trợ
Lỗ hổng này ảnh hưởng đến các phiên bản phần mềm v240126 và v24082 của dòng router D-Link DIR-823X. Đáng lo ngại là các thiết bị này đã bị nhà sản xuất ngừng bán vào năm ngoái và không còn nhận được bất kỳ bản cập nhật phần mềm nào.
Vào tháng 9, D-Link đã đưa ra cảnh báo mạnh mẽ: "D-Link khuyến nghị mạnh mẽ rằng sản phẩm này nên được ngừng sử dụng và cảnh báo rằng việc tiếp tục sử dụng sản phẩm này có thể gây rủi ro cho các thiết bị được kết nối với nó."
Bảo mật mạng
Ngoài D-Link, Akamai cũng quan sát thấy các hacker đang nhắm vào các lỗ hổng trên router của TP-Link và ZTE, cho thấy một chiến dịch rộng lớn hơn nhắm vào thiết bị IoT cũ kỹ.
Tại sao Mirai vẫn phổ biến?
Akamai nhận định rằng các chiến dịch phần mềm độc hại Mirai tiếp tục là cơn ác mộng của ngành công nghiệp bảo mật. Mã nguồn gốc của Mirai vẫn liên tục được tái sử dụng bởi nhiều nhóm tội phạm mạng, từ những tay nghiệp dư đến chuyên gia.
"Rào cản gia nhập thấp và lợi ích tài chính tiềm năng là một số động lực có thể lôi kéo các cá nhân bước vào lĩnh vực botnet và trở thành tác nhân đe dọa mạng," Akamai nhận xét.
Với các thiết bị bị ngừng hỗ trợ như D-Link DIR-823X, giải pháp duy nhất để người dùng bảo vệ mạng lưới của mình là thay thế thiết bị cũ bằng các router mới hơn, được nhà sản xuất hỗ trợ cập nhật bảo mật thường xuyên.
