La botnet Mirai è una delle più longeve in assoluto. Le prime tracce risalgono a quasi 10 anni fa. I ricercatori di Akamai hanno individuato una nuova variante che sfrutta la vulnerabilità CVE-2025-29635 dei router D-Link DIR-823X. Dopo l’infezione, i dispositivi vengono utilizzati per effettuare attacchi DDoS (Distributed Denial of Service).
Sostituire i router non più supportati
La vulnerabilità CVE-2025-29635 è presente nei firmware 240126 e 24082 dei router D-Link DIR-823X. Può essere sfruttata per eseguire comandi arbitrari attraverso una richiesta POST. I cybercriminali possono quindi installare malware e prendere il controllo del dispositivo. Due ricercatori cinesi avevano scoperto il problema di sicurezza e pubblicato il codice dell’exploit su GitHub. È stato successivamente rimosso, ma ormai era diventato di dominio pubblico.
Gli esperti di Akamai hanno infatti rilevato una variante della botnet Mirai che utilizza l’exploit. La suddetta richiesta POST contiene parametri che consentono di scaricare ed eseguire uno script di shell sui router. Questo script installa tuxnokill, ovvero il malware che permette l’accesso remoto e l’aggiunta dei dispositivi alla botnet.
Mirai è una delle botnet più potenti in assoluto. Viene usata per effettuati attacchi DDoS di vario tipo che saturano le risorse dei server causando l’interruzione dei servizi. Akamai ha scoperto che gli stessi cybercriminali sfruttano anche vulnerabilità nei router TP-Link Archer AX21 e ZTE ZXV10 H108L.
Come indicato dal produttore taiwanese, il D-Link DIR-823X non viene più supportato dal 15 novembre 2024. Ciò significa che non ci sono nuovi firmware che risolvono la vulnerabilità. Gli utenti dovrebbero quindi acquistare un router più recente.
Quasi tutte le botnet infettano vecchi dispositivi di rete. Se non può essere sostituito è necessario disattivare l’accesso remoto all’interfaccia di amministrazione, usare password robuste e verificare eventuali modifiche alla configurazione.
Ti potrebbe interessare
23 apr 2026