Akamaiが報じるところによると、1年前に公開されたコマンドインジェクション脆弱性の影響を受ける廃止されたD-Linkルーターを狙うMiraiボットネットがあります。
CVE-2025-29635として追跡されているこのセキュリティ欠陥は、攻撃者が制御可能な関数値がバリデーションなしでコピーされるために存在し、細工されたPOSTリクエストを通じて悪用される可能性があります。
「ルーターはリクエストボディからコマンドバッファに入る値を、どのフォームフィールドから来たかをチェックせずに抽出します」と、Akamaiは指摘しています。
観察された悪用の試みは、昨年GitHubで公開されたコンセプト実証(PoC)悪用と同じコードをターゲットにし、その後削除されたのと同じシステムコールをトリガーしていると、同社は述べています。
観察された実行パスの一部として、XORエンコーディング、ハードコードされたコンソール実行文字列、ハードコードされたダウンローダーIPなど、多くのMirai特性を持つペイロードをダウンロードして実行するシェルスクリプトが読み込まれます。
悪用された問題はD-Link DIR-823Xシリーズルーターのファームウェアバージョン240126および24082に存在します。影響を受けたデバイスは昨年廃止され、ベンダーからのソフトウェアアップデートを受け取らなくなりました。
「D-Linkはこの製品の廃止を強く推奨し、この製品をさらに使用することは接続されたデバイスへのリスクになる可能性があることに注意しています」と、同社は9月に警告しました。
ハッカーはTP-LinkおよびZTEルーターの脆弱性もターゲットにしていることが観察されていると、Akamaiは述べています。
最近観察された攻撃の背後にある脅威行為者は、ペイロードを構築するためにvibe codingを使用していないようです。
「Miraiマルウェアキャンペーンは業界を引き続き悩ませており、元のソースコードの多くは、熟練した脅威行為者と未熟な脅威行為者の両方によって引き続き再利用されています。低い参入障壁と潜在的な経済的利益は、個人をボットネット空間に進入させてサイバー脅威行為者になるように誘うかもしれない一部のインセンティブです」とAkamaiは指摘しています。
翻訳元: https://www.securityweek.com/mirai-botnet-targets-flaw-in-discontinued-d-link-routers/
