Vor mehr als einem Jahr veröffentlichten Sicherheitsforscher bei bestimmten D-Link-Routern ein Misserfolg, der nun von einem Mirai-basierten Botnet aktiv genutzt werden konnte. Der als CVE-2025-29635, ermöglicht die Ausführung von Remote-Befehlen durch eine POST-Anfrage, die an einen bestimmten Endpunkt des Geräts adressiert wird, und nach dem Akamai (SIRT) Sicherheits-Antwortteam, dass Schwäche seit März 2026 verwendet wurde, um Ausrüstung in ein schädliches Netzwerk zu integrieren.
Die von Akamai beobachtete Technik ist in ihrem Ansatz nicht ausgereift: Angreifer senden Anfragen, die die Sicherheitslücke nutzen, um durch Routen zu bewegen, wo das System Schreibgenehmigungen hat, ein Skript herunterladendlink. !von einem Remote-Server und führen Sie es aus, was zur Installation einer schädlichen binären führt. Diese binäre, getauft von Analysten wie "tuxnokill", ist eine Mirai-Adaption, die bereit ist, in mehreren CPU-Architekturen zu arbeiten, und hält den klassischen Katalog verteilter Service-Denial-Angriffe (DDoS) im Zusammenhang mit Mirai - TCP-Syncrones, UDP-Amplifikationen und HTTP-Überschwemmungsvarianten.
Die technische Beschreibung des Fehlers macht den Vektor deutlich: Eine POST-Anfrage an die Ressource / goform / set _ untersagt, dass eine verletzliche Funktion aufgerufen wird und ermöglicht es Ihnen, Befehle auf dem betroffenen Computer injizieren und auszuführen. Die öffentliche Eingabe der Sicherheitslücke in die nationale Sicherheitsdatenbank ist verfügbar, um die technischen Details und die Geschichte der CVE-Zuweisung zu sehen: NVD - CVE-2025-29635. Der Bericht von Akamai, der die Kampagne dokumentiert und die in seinem Honeypots-Netzwerk gesammelten Signale zeigt, ist hier verfügbar: Akamai SIRT - Kampagnenanalyse.
Eine relevante Tatsache in diesem Vorfall ist, dass die Verwundbarkeit von Forschern Wang Jinshuai und Zhao Jiangting vor mehr als einem Jahr bekannt gemacht wurde und es einen Nachweis des Konzepts gab, das kurz in GitHub veröffentlicht wurde, den die Autoren später zurückzogen. Die Massenausbeutung in realen Umgebungen wurde jedoch erst nach den jüngsten Beobachtungen von Akamai dokumentiert.
Die Kampagnenleiter waren nicht auf dieses einzige Ziel beschränkt. Die gleichen von Akamai entdeckten Angriffsmuster traten auch in Versuchen auf, verschiedene Ausfälle auszunutzen, wie CVE-2023-1389 die bestimmte TP-Link Router und eine entfernte laufende Sicherheitslücke in ZTE ZXV10 H108L Routern beeinflusst, und in allen Fällen war das Ergebnis der Bereitstellung einer Mirai-Last.
Der Kontext erhöht das Risiko: Die von CVE-2025-29635 betroffenen DIR-823X-Modelle erreichten das Ende ihres Lebens im November 2024, entsprechend dem D-Link selbst, was die Optionen für den Empfang eines offiziellen Patches reduziert. D-Link hat in seinen Richtlinien deutlich gemacht, dass es in der Regel keine Unterstützung Ausnahmen für EoL-Geräte ausgibt, so dass Millionen von Benutzern mit alten Hardware kein Update zur Verfügung haben; die End-of-Support-Benachrichtigung wird auf der Website des Unternehmens veröffentlicht: D-Link - Ende des Lebens.
Dieser Vorfall erinnert daran, warum IoT-basierte Botnets eine anhaltende Bedrohung bleiben: nicht aktualisierte Firmware-Geräte, Standard-Passwörter und Internet-accessible Management-Dienste bieten eine attraktive und stabile Angriffsfläche. Mirai hat in seinen verschiedenen Reinkarnationen gezeigt, dass es mit Varianten, die für unterschiedliche Chips und eingebettete Betriebssysteme kompiliert werden können, wieder auftauchen kann und das Risiko in häuslichen Umgebungen und EMS multipliziert.
Wenn Sie eine dieser nahe gelegenen Router oder Ausrüstung in der Antike haben, sind die effektivsten defensiven Maßnahmen, die Ausrüstung durch eine zu ersetzen, die noch Unterstützung und Sicherheits-Updates erhalten. Solange der Austausch nicht möglich ist, ist es angebracht, die Exposition zu minimieren: die Remote-Administration zu deaktivieren, wenn es nicht erforderlich ist, die administrativen Anmeldeinformationen für robuste und einzigartige Passwörter zu ändern, und anormale Verhaltensweisen wie unerwartete Neustarts, ausgehende Verbindungen zu unbekannten PIs oder Änderungen in der Konfiguration, die Sie nicht gemacht haben.
Außerdem wird für Sicherheitsmanager und Geräte empfohlen, die Aufzeichnungen zu überprüfen, bekannte Betriebsversuche auf dem Umfang blockieren und Verkehrsinspektion verwenden, um Skripte zu erkennen, die versuchen, auf Strecken mit Schreibgenehmigungen zu bestehen. Public Intelligence über diese Kampagnen - wie Akamai - und die Beschreibung der CVE helfen, die Erkennungs- und Blockierungsregeln in Firewalls und Intrusions-Präventionssystemen anzupassen.
Die gute Nachricht ist, dass die Sicherheitsgemeinschaft Dokumentation und Analyse hat, um solche Bedrohungen zu identifizieren und zu mildern; die schlechte Nachricht ist, dass der ununterstützte Gerätepark ein ausbeutebarer Vektor bleibt, solange es angeschlossene Geräte ohne Wartung. Um den historischen und technischen Umfang von Mirai zu verstehen, können Referenzstücke, die die Evolution dieses schädlichen Ökosystems beschreiben, wie Brian Krebs' Analyse des Mirai-Botnets und seine großen Folgen, konsultiert werden: KrebsOnSecurity - Das Mirai Botnet.
Kurz gesagt, CVE-2025-29635 ist zum Gateway für eine aktive Kampagne geworden, die eine Variante von Mirai in D-Link Routern installiert, die keine Unterstützung mehr erhalten. Die sicherste Lösung ist, das Gerät durch eine aktualisierte zu ersetzen. und als ergänzende Maßnahmen ist es notwendig, die Angriffsfläche zu reduzieren und das Verhalten des Netzes zu überwachen, um Zeichen der Verpflichtung so bald wie möglich zu erkennen.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...