Variante Mirai Nexcorium cible une vulnérabilité des routeurs D-Link
Des chercheurs en sécurité ont découvert une nouvelle campagne de botnet Mirai le 22 avril 2026, exploitant activement CVE-2025-29635, une vulnérabilité d'injection de commande de haute gravité dans les routeurs D-Link DIR-823X. La variante de malware, baptisée Nexcorium, exploite cette faille pour exécuter des commandes arbitraires sur des appareils vulnérables et les recruter dans une infrastructure de botnet en expansion.
CVE-2025-29635 affecte l'interface de gestion web des routeurs D-Link DIR-823X via une validation d'entrée incorrecte dans le firmware de l'appareil. Les attaquants peuvent injecter des commandes malveillantes via des requêtes HTTP spécialement conçues vers le panneau administratif du routeur sans nécessiter d'authentification. La vulnérabilité provient d'une insuffisance de la désinfection des entrées utilisateur dans les scripts CGI du routeur, permettant l'exécution de code à distance avec des privilèges root.
La campagne Nexcorium a été identifiée pour la première fois par des chercheurs en renseignement sur les menaces surveillant l'activité des botnets sur des appareils IoT compromis. The Hacker News a rapporté que les attaquants scannent systématiquement les routeurs D-Link exposés à Internet et tentent l'exploitation quelques minutes après leur découverte. Le malware télécharge des charges utiles supplémentaires depuis des serveurs de commande et de contrôle, établissant un accès persistant et permettant aux appareils infectés de participer à des attaques par déni de service distribué.
Contrairement aux variantes traditionnelles de Mirai qui reposent sur des identifiants par défaut faibles, Nexcorium cible spécifiquement cette faille d'injection de commande pour contourner entièrement l'authentification. Le vecteur d'attaque implique l'envoi de requêtes POST à l'interface web du routeur avec des commandes shell intégrées dans les champs de paramètres. Une fois réussi, le malware s'installe dans le système de fichiers temporaire de l'appareil et établit une communication avec des serveurs distants pour d'autres instructions.
Les chercheurs de la société de sécurité ont noté que la campagne montre une compréhension sophistiquée de l'architecture du firmware D-Link, suggérant que les acteurs de la menace ont rétro-ingénieré le logiciel du routeur pour optimiser leurs techniques d'exploitation. Le malware inclut des fonctionnalités anti-analyse et tente de désactiver d'autres infections de botnets concurrentes sur les appareils compromis.
Les utilisateurs de routeurs D-Link DIR-823X font face à une exposition critique
La vulnérabilité affecte tous les modèles de routeurs D-Link DIR-823X exécutant des versions de firmware antérieures à la désignation de fin de vie de l'appareil. D-Link a cessé le support de la série DIR-823X en 2024, ce qui signifie qu'aucun correctif de sécurité ne sera publié pour résoudre CVE-2025-29635. Les utilisateurs domestiques, les petites entreprises et les organisations utilisant encore ces routeurs restent vulnérables à une compromission immédiate.
Les données de scan Internet de Shodan indiquent qu'environ 180 000 routeurs D-Link DIR-823X restent accessibles depuis Internet dans le monde entier, avec les concentrations les plus élevées en Amérique du Nord, en Europe et dans les régions Asie-Pacifique. Beaucoup de ces appareils conservent des identifiants administratifs par défaut et manquent de configurations de pare-feu appropriées, ce qui en fait des cibles de choix pour la campagne Nexcorium.
La vulnérabilité d'injection de commande a un score CVSS de 8,1, classée comme de haute gravité en raison de son vecteur d'attaque basé sur le réseau et du potentiel de compromission complète de l'appareil. Une exploitation réussie accorde aux attaquants un accès de niveau root au système d'exploitation du routeur, leur permettant de surveiller le trafic réseau, de rediriger les requêtes DNS et d'utiliser l'appareil comme point de lancement pour des attaques contre d'autres ressources réseau.
Les environnements d'entreprise utilisant des routeurs D-Link DIR-823X dans des bureaux de branche ou comme solutions de connectivité de secours courent un risque particulier, car les appareils compromis peuvent fournir aux attaquants un accès réseau persistant et la capacité de pivoter vers des systèmes internes. Le processus de recrutement de botnet se produit généralement dans les heures suivant la compromission initiale, rendant une réponse rapide critique pour les organisations affectées.
Étapes de mitigation immédiates pour les propriétaires de routeurs D-Link
Les organisations et les utilisateurs exploitant des routeurs D-Link DIR-823X doivent prendre des mesures immédiates pour éviter la compromission, car aucun correctif de firmware ne sera publié pour ces appareils abandonnés. La mitigation la plus efficace est le remplacement complet par des modèles de routeurs pris en charge des gammes de produits actuelles du fournisseur. SecurityWeek recommande de prioriser le remplacement des routeurs dans les 30 jours pour les déploiements exposés à Internet.
Pour les environnements où le remplacement immédiat n'est pas faisable, les administrateurs doivent mettre en œuvre des protections au niveau du réseau pour réduire l'exposition. Désactivez les fonctionnalités de gestion à distance en accédant à l'interface web du routeur à 192.168.1.1 et en naviguant vers Paramètres avancés > Gestion à distance. Réglez l'option "Activer la gestion à distance" sur "Désactivé" et assurez-vous que le "Port de gestion à distance" n'est pas accessible depuis les réseaux externes.
Les administrateurs réseau doivent également configurer des règles de pare-feu pour bloquer l'accès externe à l'interface de gestion web du routeur sur les ports 80 et 443. Changez immédiatement les identifiants administratifs par défaut, en utilisant des mots de passe complexes d'au moins 12 caractères combinant majuscules, minuscules, chiffres et caractères spéciaux. Activez la journalisation des accès si disponible et surveillez les tentatives d'authentification suspectes ou les changements de configuration.
À des fins de détection, les équipes de sécurité doivent scanner leurs réseaux pour les appareils D-Link DIR-823X à l'aide d'outils de découverte de réseau et maintenir un inventaire de toute l'infrastructure de routeurs exposée à Internet. Help Net Security suggère de mettre en œuvre une segmentation du réseau pour isoler les appareils IoT potentiellement vulnérables des systèmes d'affaires critiques et de surveiller le trafic réseau pour détecter des indicateurs de modèles de communication de botnet.
