الأمن السيبرانيالاختراقات والثغرات

بوتنت Mirai يستهدف ثغرة في أجهزة توجيه D-Link المتوقفة عن الدعم

يستهدف بوتنت Mirai ثغرة أمنية في أجهزة توجيه (راوتر) من شركة D-Link لم تعد مدعومة، وذلك بعد عام من الكشف العلني عن الثغرة ونشر كود استغلال تجريبي لها.

وبحسب تقرير شركة Akamai، فإن الثغرة، التي تحمل المعرف CVE-2025-29635، تنشأ نتيجة نسخ قيمة يمكن للمهاجم التحكم بها دون التحقق منها، ما يسمح باستغلالها عبر طلبات POST مُعدّة خصيصًا.

وأوضحت الشركة أن “الراوتر يقوم باستخراج القيمة التي تُستخدم داخل مخزن الأوامر (command buffer) من جسم الطلب (request body) دون التحقق من الحقل الذي جاءت منه”، وهو ما يفتح الباب أمام تنفيذ أوامر ضارة.

وأشارت Akamai إلى أن محاولات الاستغلال التي تم رصدها تعتمد على نفس الكود وتستدعي نفس استدعاء النظام المستخدم في كود إثبات المفهوم (PoC) الذي نُشر العام الماضي على GitHub قبل أن تتم إزالته لاحقًا.

وكجزء من مسار التنفيذ، يتم تحميل سكربت shell يقوم بتنزيل وتشغيل حمولة خبيثة تحمل خصائص معروفة لبرمجية Mirai، مثل:

  • استخدام ترميز XOR
  • وجود سلسلة تنفيذ مدمجة (hardcoded)
  • عنوان IP ثابت لتنزيل الحمولة

الثغرة تؤثر على أجهزة راوتر من سلسلة D-Link DIR-823X بإصدارات البرنامج الثابت 240126 و24082. وقد تم إيقاف دعم هذه الأجهزة العام الماضي، ولم تعد تتلقى أي تحديثات أمنية من الشركة.

وكانت D-Link قد حذرت في سبتمبر الماضي من الاستمرار في استخدام هذه الأجهزة، مؤكدة أن ذلك قد يشكل خطرًا على الأجهزة المتصلة بها، وأوصت بالتوقف عن استخدامها نهائيًا.

كما أفادت Akamai بأن القراصنة يستهدفون أيضًا ثغرات في أجهزة راوتر من شركتي TP-Link وZTE.

ويبدو أن الجهة المسؤولة عن هذه الهجمات لم تعتمد على تقنيات برمجية متقدمة لبناء الحمولة، حيث لا تزال حملات Mirai تعتمد بشكل كبير على إعادة استخدام الشيفرة المصدرية الأصلية.

واختتمت Akamai بالإشارة إلى أن برمجيات Mirai لا تزال تشكل تهديدًا مستمرًا، نظرًا لانخفاض عتبة الدخول إلى هذا المجال، وإمكانية تحقيق مكاسب مالية، مما يشجع حتى المهاجمين قليلي الخبرة على الانخراط في هذا النوع من الهجمات.

مقالات ذات صلة

زر الذهاب إلى الأعلى