殭屍網路Mirai變種綁架生命週期結束的D-Link路由器

資安公司Akamai於今年3月發現，D-Link路由器設備DIR-823X遭到鎖定，駭客利用命令注入漏洞CVE-2025-29635，部署殭屍網路Mirai變種tuxnokill。由於這個系列的路由器生命週期已經結束，未有修補程式，駭客恐持續將漏洞用於攻擊活動。

我們向D-Link進一步詢問，該公司表示，DIR-823X僅在中國銷售，因此不影響臺灣與其他國家用戶，此設備於2024年11月生命週期結束，並於2025年8月停止支援，不過，他們未正面說明此漏洞是否完成修補。

CVE-2025-29635為命令注入漏洞，存在於DIR-823X的240126與240802版韌體，取得授權的攻擊者可藉由特定的功能，發送POST請求到/goform/set_prohibiting觸發漏洞，從而觸發遠端命令執行（RCE），CVSS風險評為8.8分，屬高風險等級。此漏洞於2025年3月被揭露，通報此事的研究人員曾公布概念驗證程式碼（PoC）。從時間點來看，D-Link很有可能未發布新版韌體修補漏洞。

針對本次駭客部署殭屍網路病毒tuxnokill的過程，他們會使用Shell指令碼試圖利用漏洞，然後下載惡意軟體有效酬載並執行。除了針對D-Link路由器，Akamai發現駭客還鎖定另外兩款路由器，分別是TP-Link Archer AX21與中興ZXV10 H108L。