ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์ และพบรายงานว่าปัจจุบันมีการโจมตีโดย Mirai botnet ผ่านช่องโหว่ CVE-2025-29635 ในเราเตอร์ D-Link DIR-823X ซึ่งเป็นอุปกรณ์ที่เข้าสู่สถานะ End-of-Life (EoL) แล้ว ผู้โจมตีสามารถอาศัยช่องโหว่ดังกล่าวเพื่อสั่งรันคำสั่งบนอุปกรณ์ และดาวน์โหลดมัลแวร์เพื่อนำอุปกรณ์เข้าเป็นส่วนหนึ่งของ botnet ได้ [1]
1. รายละเอียดช่องโหว่
CVE-2025-29635 ( CVSS v3.1: 8.8 ) – เป็นช่องโหว่ประเภท Command Injection ในเราเตอร์ D-Link DIR-823X ซึ่งเกิดจากการนำค่าที่ผู้โจมตีควบคุมได้ไปใช้ต่อโดยไม่มีการตรวจสอบอย่างเหมาะสม ส่งผลให้ผู้โจมตีที่มีสิทธิ์เข้าถึงสามารถส่ง crafted POST request ไปยัง endpoint “/goform/set_prohibiting” เพื่อสั่งรันคำสั่งบนอุปกรณ์ได้ รูปแบบการโจมตีที่พบมีการดาวน์โหลดสคริปต์เชลล์จากภายนอกและเรียกใช้งานเพื่อติดตั้งเพย์โหลดที่มีลักษณะของ Mirai อย่างชัดเจน เช่น รองรับหลายสถาปัตยกรรม และมีความสามารถในการโจมตีแบบ DDoS หลายรูปแบบ [2]
นอกจากนี้ รายงานยังระบุว่าผู้โจมตีกลุ่มเดียวกันมีการพยายามใช้ช่องโหว่ในเราเตอร์ยี่ห้ออื่นร่วมด้วย เช่น TP-Link และ ZTE เพื่อปล่อย Mirai payload ในลักษณะใกล้เคียงกัน สะท้อนให้เห็นว่าอุปกรณ์เครือข่าย SOHO/IoT ที่ไม่ได้รับการอัปเดตด้านความปลอดภัยยังคงเป็นเป้าหมายสำคัญของ botnet operators [3]
2. ผลิตภัณฑ์ที่ได้รับผลกระทบ
D-Link DIR-823X firmware เวอร์ชัน 240126 และ 240802 โดยอุปกรณ์ตระกูล DIR-823X อยู่ในสถานะ End-of-Life / End-of-Service แล้ว
3. แนวทางการแก้ไข
ในกรณีนี้ยังไม่พบการประกาศแพตช์แก้ไขสำหรับอุปกรณ์ที่ได้รับผลกระทบ และเนื่องจากผลิตภัณฑ์เข้าสู่สถานะ EoL แล้ว แนวทางที่เหมาะสมที่สุดคือ ยุติการใช้งานและเปลี่ยนไปใช้อุปกรณ์รุ่นที่ยังได้รับการสนับสนุนด้านความปลอดภัยจากผู้ผลิต D-Link ระบุว่าอุปกรณ์ที่ถึง EoL ควรถูก retire และ replace [4]
4. หากยังไม่สามารถเปลี่ยนอุปกรณ์ได้ทันที ควรดำเนินการดังนี้
– ปิดการเข้าถึงหน้า administration หรือ remote management จากอินเทอร์เน็ต หากไม่มีความจำเป็น
– เปลี่ยนรหัสผ่านผู้ดูแลระบบให้เป็นรหัสผ่านที่คาดเดาได้ยาก และหลีกเลี่ยงการใช้ค่าตั้งต้น
– เฝ้าระวังทราฟฟิกหรือพฤติกรรมผิดปกติจากอุปกรณ์ เช่น การส่งคำขอ POST ที่น่าสงสัยไปยัง “/goform/set_prohibiting”, การดาวน์โหลดสคริปต์จากภายนอก, หรือพฤติกรรมที่บ่งชี้การเข้าร่วม botnet/DDoS
– วางแผนเปลี่ยนทดแทนอุปกรณ์ที่หมดอายุการสนับสนุนโดยเร็วที่สุด
แหล่งอ้างอิง