详细内容或原文请订阅后点击阅览
Mirai 僵尸网络利用 CVE-2025-29635 来攻击旧版 D-Link 路由器
Mirai 僵尸网络使用 CVE-2025-29635 瞄准旧的 D-Link 路由器,CVE-2025-29635 是一个命令注入缺陷,可在公开 PoC 披露后通过精心设计的 POST 请求来利用。据 Akamai 报告,Mirai 僵尸网络正在积极利用已停产的 D-Link 路由器中的命令注入漏洞(编号为 CVE-2025-29635)。该缺陷允许攻击者注入命令,因为攻击者控制的值是在没有 [...] 的情况下复制的
来源:Security Affairs _恶意软件Mirai 僵尸网络利用 CVE-2025-29635 来攻击旧版 D-Link 路由器
Mirai 僵尸网络使用 CVE-2025-29635 瞄准旧的 D-Link 路由器,CVE-2025-29635 是一个命令注入缺陷,可在公开 PoC 披露后通过精心设计的 POST 请求来利用。
据 Akamai 报告,Mirai 僵尸网络正在积极利用已停产的 D-Link 路由器中的命令注入漏洞(编号为 CVE-2025-29635)。该缺陷允许攻击者注入命令,因为攻击者控制的值在未经适当验证的情况下被复制。该漏洞影响 D-Link DIR-823X 系列路由器的固件版本 240126 和 24082。
专家们观察到,漏洞利用在公开披露和 PoC 发布大约一年后开始,使用精心设计的 POST 请求来破坏设备。
“Akamai 安全情报和响应团队 (SIRT) 已发现针对 D-Link DIR-823X 系列路由器的命令注入漏洞 CVE-2025-29635 的主动利用。尽管这些设备已于 2025 年停产,但威胁参与者正在利用此缺陷来部署 Mirai 僵尸网络变体。”阅读 Akamai 发布的报告。
“SIRT 于 2026 年 3 月首次在我们的全球蜜罐网络中发现了此活动。这是自 2025 年 3 月首次披露这些漏洞以来首次报告的主动利用这些漏洞的情况。”
安全研究人员王金帅和赵江亭对固件的 sub_42232C 函数进行了逆向工程,发现攻击者控制的 macaddr 输入被 snprintf 复制到命令缓冲区中,然后传递给 system(),从而可以通过精心设计的对 /goform/set_prohibiting 的 POST 请求来实现远程命令执行。
他们还在 GitHub 上发布了一个 PoC,后来被删除,而在报告发布时,该问题在 CISA 的已知利用漏洞目录中仍然不存在。 2026 年 3 月上旬,Akamai SIRT 观察到使用类似请求模式的主动利用尝试,包括从外部基础设施获取和执行恶意软件的 shell 命令。
皮尔路易吉·帕格尼尼