長年公式なサポートから廃止されていたルーターが、急激なサイバー侵害の波の中心地となっています。敵対者は古い脆弱性を積極的に悪用し、国内のハードウェアを巨大なボットネットに秘密裏に徴募し始めています。
CVE-2025-29635として指定されたD-Link DIR-823Xルーター内の欠陥(CVSSスコア8.8)は、巧妙に作成されたPOSTリクエストを介して任意のコマンド実行を可能にします。脆弱性のあるエンドポイントにリクエストを向けるだけで、侵入者はルーターに悪意のある命令を実行させることができます。
この攻撃はAkamaiによって2026年3月に特定されました。脆弱性は1年以上前に開示されていましたが、最近になって初めて悪用の実例が明らかになりました。この活動は、脆弱なハードウェアをシミュレートするために設計された「ハニーポット」のグローバルネットワークを通じて検出されました。
攻撃のメカニズムは非常にシンプルです。攻撃者はデバイスを書き込み可能なディレクトリに強制するリクエストを送信し、その後リモートサーバーからdlink.shというスクリプトを取得します。実行されると、このスクリプトはtuxnokillとして知られるMiraiから派生したマルウェアバリアントをインストールします。このペイロードはクロスアーキテクチャ互換性を備えており、多様なハードウェアに対して効果的です。
マルウェアの機能はMiraiの標準的な動作プロファイルを反映しています。感染したノードは強力な分散型サービス妨害(DDoS)キャンペーンに武装され、ターゲットサーバーにTCPおよびUDPトラフィックの洪水または飽和したHTTPリクエストを浴びせます。
脅威グループは単一ブランドに限定していません。同時に、グループはTP-Linkルーター内のCVE-2023-1389と、ZTE ZXV10 H108Lデバイス内の別のリモートコマンド実行脆弱性を利用しています。戦術パターンはすべてのターゲット全体で一貫しており、周辺を侵害し、ペイロードを流出させ、Miraiマルウェアを定着させます。
影響を受けたハードウェアが2024年11月に「サポート終了」(EoL)ステータスに達したという事実により、状況の深刻さが増しています。メーカーはアクティブな脅威が存在する場合でも、セキュリティパッチの配布を中止しています。その結果、最終的なファームウェア反復は永続的に露出したままである可能性があります。
そのような古いルーターの所有者は、ハードウェア交換を検討することを強くお勧めします。これらのデバイスがネットワークに接続されている限り、所有者の知識なく悪用される可能性があります。最低限、ユーザーはリモート管理インターフェースを無効にし、デフォルトの管理者認証情報をローテーションし、デバイス構成を細心の注意を持って監視する必要があります。
翻訳元: https://meterpreter.org/ancient-d-link-routers-hijacked-by-new-tuxnokill-mirai-botnet/
