情資卡編號:
TCCY-RCDC-200-202604-0000029
事件主旨:
D-Link DIR-823X系列路由器存在高風險漏洞(CVE-2025-29635),請評估辦理停用並汰換相關設備。
內容說明:
一、漏洞說明[1][2]
D-Link DIR-823X系列路由器存在一項命令注入漏洞(CVE-2025-29635)。該漏洞允許攻擊者透過向 /goform/set_prohibiting 端點發送特製POST請求,進而於遠端裝置執行任意指令。該系列路由器已於2025年停產,且已有攻擊者利用此漏洞進行攻擊,並部署名為tuxnokill的Mirai殭屍網路變種。另觀察到相同攻擊手法亦用於攻擊CVE-2023-1389(TP-Link 路由器)及ZTE ZXV10 H108L路由器的遠端程式碼執行漏洞,並載入Mirai惡意內容。
二、已揭露攻擊活動說明
1. CISA已納入漏洞利用清單。[3]
2. Akamai已發布技術分析報告。[2]
三、F-ISAC彙整Akamai所提供入侵威脅指標如附檔。
風險等級:
3
建議措施:
1. 建議會員停用並汰換所有已終止產品生命週期(End-of-Life, EoL)的設備。
2. 建議定期檢查設備韌體版本,並依原廠公告更新至最新版本,並持續監控設備設定與網路流量,留意是否出現異常變化或不明對外連線行為。
3. 建議會員可透過單位內設備觀察是否曾有對這些(可疑)IP、網域之連線紀錄,進行分析及風險評估(建議確認連線請求者是否為正常或合法的連線),並依照既有防護設備採取對應防護措施。建議會員可定期檢視入侵威脅指標之觸發情形,如長時間未觸發,則可評估移除或調整處理方式(例如由封鎖轉為監控)。另可依自身需求及不同類型入侵威脅指標之時效性差異評估檢視頻率,例如IP位址、網域名稱、URL及E-mail等通常變動較快,可每1至3個月重新檢視一次;而檔案雜湊值(Hash)等檔案特徵型指標相對穩定,通常不易因時間經過而改變其惡意特性,故可適度延長保留期限。