D-Link

Uma nova variante do malware Mirai está ameaçando roteadores D-Link da série DIR-823-X, permitindo que hackers assumam o controle dos dispositivos sem aviso. A vulnerabilidade, identificada pela empresa de segurança Akamai, foi detectada pela primeira vez em março de 2026 e se baseia em uma injeção de comandos que foi descoberta há 13 meses. Os pesquisadores Wang Jinshuai e Zhao Jiangting publicaram uma prova de conceito da falha, que posteriormente foi removida. As versões de firmware 240126 e 24082 estão especialmente vulneráveis, permitindo a execução de comandos remotos não autorizados. O ataque ocorre quando pedidos manipulados são enviados a um ponto de acesso vulnerável, resultando na instalação do malware tuxnokill, que transforma o roteador em um botnet para ataques DDoS. A D-Link não oferece mais suporte para esses modelos desde novembro de 2024, tornando a situação ainda mais crítica. Especialistas recomendam a substituição dos roteadores antigos ou, se isso não for possível, a desativação do acesso remoto e a mudança de senhas padrão.

Uma nova campanha de malware baseada no Mirai está explorando a vulnerabilidade de injeção de comando CVE-2025-29635, que afeta roteadores D-Link DIR-823X. Essa falha permite que atacantes executem comandos arbitrários em dispositivos remotos ao enviar uma requisição POST para um endpoint vulnerável, resultando em execução remota de comandos (RCE). A Akamai SIRT, que detectou a campanha em março de 2026, informa que, apesar de a vulnerabilidade ter sido divulgada há 13 meses, esta é a primeira vez que a exploração ativa foi observada. Os atacantes estão utilizando requisições POST para alterar diretórios, baixar um script shell e executá-lo, instalando um malware Mirai chamado ’tuxnokill’, que suporta múltiplas arquiteturas e possui capacidades de ataque DDoS. Além disso, a campanha também explora outras vulnerabilidades em roteadores TP-Link e ZTE. Os dispositivos afetados atingiram o fim de vida útil em novembro de 2024, o que significa que é improvável que a D-Link forneça um patch para corrigir a falha. Usuários de roteadores obsoletos são aconselhados a atualizar para modelos mais novos e seguros.

Cibercriminosos estão aproveitando uma vulnerabilidade crítica em roteadores D-Link de gateway DSL que não recebem suporte há anos. A falha, identificada como CVE-2026-0625, afeta o endpoint dnscfg.cgi devido à má sanitização em uma biblioteca CGI, permitindo a execução remota de códigos maliciosos. Os modelos afetados incluem DSL-526B, DSL-2640B, DSL-2740R e DSL-2780B, todos considerados ’end-of-life’ desde 2020, o que significa que não receberão mais atualizações de firmware ou patches de segurança. A D-Link recomenda que os usuários desses dispositivos os substituam por modelos mais novos. A empresa ainda investiga se outros produtos podem ser impactados pela falha. Embora não se saiba quais hackers estão explorando a vulnerabilidade, a maioria das configurações permite apenas acesso LAN a interfaces administrativas. A exploração da falha pode ocorrer através de ataques baseados em navegador ou mirando dispositivos configurados para administração remota. A situação é preocupante, pois a falta de suporte para esses dispositivos pode expor redes a riscos significativos.

Uma nova vulnerabilidade crítica, identificada como CVE-2026-0625, foi descoberta em roteadores DSL da D-Link, com um alto índice de severidade de 9.3 no CVSS. Essa falha, que se refere a uma injeção de comandos no endpoint ‘dnscfg.cgi’, permite que atacantes remotos não autenticados injetem e executem comandos de shell arbitrários, resultando em execução remota de código. Os modelos afetados incluem DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, todos com status de fim de vida desde 2020. A D-Link está investigando a situação após um alerta da VulnCheck em dezembro de 2025, mas a identificação precisa dos modelos afetados é complexa devido a variações de firmware. A exploração ativa dessa vulnerabilidade foi registrada em novembro de 2025, e a empresa recomenda que os proprietários de dispositivos afetados considerem a substituição por modelos que recebam atualizações regulares de firmware e segurança. A falha expõe um mecanismo de configuração DNS que já foi utilizado em campanhas de sequestro de DNS em larga escala, permitindo que atacantes alterem silenciosamente as entradas de DNS, comprometendo a segurança de toda a rede conectada ao roteador.

Um novo malware chamado ShadowV2, baseado na botnet Mirai, está atacando dispositivos de marcas como D-Link e TP-Link, explorando vulnerabilidades conhecidas. Pesquisadores da FortiGuard Labs identificaram que o malware se espalha por pelo menos oito falhas em equipamentos de Internet das Coisas (IoT), incluindo CVEs como CVE-2020-25506 e CVE-2024-10915. Apesar de algumas dessas falhas serem conhecidas, a D-Link não planeja corrigir as vulnerabilidades em seus dispositivos considerados ’end-of-life’. O ShadowV2 realiza ataques DDoS utilizando protocolos UDP, TCP e HTTP, e é controlado por servidores de comando e controle. Os ataques foram observados em diversos setores, incluindo governo e telecomunicações, afetando regiões da América do Sul, América do Norte, Europa e Ásia. A gravidade da situação é acentuada pela falta de atualizações em dispositivos vulneráveis, o que pode levar a um aumento na exploração dessas falhas por cibercriminosos.