พบ Mirai Botnet โจมตี Router D-Link ที่หมดอายุ Support ผ่านช่องโหว่ RCE

Akamai เปิดเผยรายงานพบแคมเปญ Malware ตระกูล Mirai กำลังโจมตี Router D-Link DIR-823X ที่หมดอายุ Support แล้ว โดยใช้ช่องโหว่ Command Injection เพื่อยึดอุปกรณ์เข้าสู่เครือข่าย Botnet

ทีมวิจัยด้านความปลอดภัย Akamai SIRT ตรวจพบความพยายามโจมตีผ่านช่องโหว่ CVE-2025-29635 บน Router D-Link DIR-823X ตั้งแต่ช่วงต้นเดือนมีนาคม 2026 ช่องโหว่นี้เป็นประเภท Command Injection ที่ทำให้ผู้โจมตีสามารถรันคำสั่งบนอุปกรณ์ได้จากระยะไกล โดยส่ง POST request ไปยัง Endpoint ที่มีช่องโหว่ แม้ช่องโหว่จะถูกเปิดเผยมาแล้วกว่า 13 เดือน แต่ตามรายงานของ Akamai นี่เป็นครั้งแรกที่พบการโจมตีจริงในวงกว้าง

จากการวิเคราะห์พบว่าผู้โจมตีส่ง POST request เพื่อดาวน์โหลด Shell Script จาก IP ภายนอก แล้วรัน Malware ชื่อ tuxnokill ซึ่งเป็น Mirai variant ที่รองรับหลาย Architecture โดย Malware ตัวนี้มีความสามารถในการโจมตีแบบ DDoS หลากหลายรูปแบบ ทั้ง TCP SYN/ACK/STOMP, UDP Flood และ HTTP Null นอกจากนี้ Akamai ยังพบว่าผู้โจมตีกลุ่มเดียวกันยังใช้ช่องโหว่ CVE-2023-1389 บน Router TP-Link และช่องโหว่ RCE บน ZTE ZXV10 H108L โดยใช้รูปแบบการโจมตีเดียวกันทั้งหมด

Router D-Link DIR-823X หมดอายุ Support ตั้งแต่เดือนพฤศจิกายน 2024 ทำให้ Firmware เวอร์ชันล่าสุดที่มีอยู่ไม่ได้รับการแก้ไขช่องโหว่นี้ และ D-Link ไม่มีนโยบายออกแพตช์ให้อุปกรณ์ที่หมดอายุ Support แม้จะพบการโจมตีจริง สำหรับผู้ใช้งานที่ยังใช้ Router รุ่นดังกล่าวอยู่ แนะนำให้เปลี่ยนไปใช้ Router รุ่นใหม่ที่ยังได้รับการ Support ปิดการใช้งาน Remote Administration หากไม่จำเป็น เปลี่ยนรหัสผ่านผู้ดูแลระบบจากค่าเริ่มต้น และตรวจสอบการเปลี่ยนแปลงค่า Configuration ที่ผิดปกติอย่างสม่ำเสมอ

ที่มา: https://www.bleepingcomputer.com/news/security/new-mirai-campaign-exploits-rce-flaw-in-eol-d-link-routers/