کمیته رکن چهارم – یک کمپین بدافزاری جدید با استفاده از بدافزار Mirai در حال بهرهبرداری فعال از یک آسیبپذیری در روترهای D-Link است که منجر به اجرای کد از راه دور و آلودهسازی دستگاهها میشود. این حملات با هدف افزودن دستگاههای آسیبپذیر به باتنت و اجرای حملات گسترده انجام میشود.
به گزارش کمیته رکن چهارم، این آسیبپذیری با شناسه CVE-2025-29635 از نوع تزریق فرمان بوده و در روترهای مدل DIR-823X شناسایی شده است. مهاجمان با ارسال درخواستهای مخرب به یک endpoint خاص، قادر به اجرای دستورات دلخواه روی دستگاه هستند.
بر اساس بررسیها، مهاجمان پس از نفوذ اولیه، اقدام به دانلود یک اسکریپت از سرور خارجی کرده و از طریق آن، بدافزار مبتنی بر Mirai را روی دستگاه نصب میکنند. این بدافزار که با نام tuxnokill شناخته میشود، قابلیت اجرای انواع حملات محرومسازی از سرویس از جمله TCP، UDP و HTTP را دارد.
گزارشها نشان میدهد که این حملات نخستینبار در اسفند ۱۴۰۴ در دنیای واقعی شناسایی شدهاند، در حالی که این آسیبپذیری بیش از یک سال پیش افشا شده بود. یک منبع مطلع از این موضوع به کمیته رکن چهارم گفت: «استفاده از آسیبپذیریهای قدیمی در تجهیزات بدون پشتیبانی، همچنان یکی از روشهای رایج برای گسترش باتنتها است.»
همچنین مهاجمان بهطور همزمان از آسیبپذیریهای مشابه در سایر تجهیزات شبکه نیز استفاده میکنند که نشاندهنده یک الگوی حمله سازمانیافته برای گسترش سریع آلودگی است.
پیشینه
بدافزار Mirai در سالهای اخیر بهطور گسترده برای آلودهسازی تجهیزات اینترنت اشیاء و ایجاد شبکههای باتنت مورد استفاده قرار گرفته است. این بدافزار معمولاً دستگاههای دارای پشتیبانینشده یا با تنظیمات پیشفرض را هدف قرار میدهد.
جمعبندی
این حملات بار دیگر نشان میدهد که دستگاههای فاقد بهروزرسانی امنیتی به اهدافی دائمی برای مهاجمان تبدیل میشوند و میتوانند در ایجاد زیرساخت حملات گسترده نقش داشته باشند.
منبع: BleepingComputer
