新しいMiraiベースのマルウェアキャンペーンが、D-Link DIR-823Xルーターに影響する高重大度のコマンドインジェクション脆弱性CVE-2025-29635を積極的に悪用して、デバイスをボットネットに登録しています。
CVE-2025-29635により、攻撃者は脆弱なエンドポイントにPOSTリクエストを送信することで、リモートコマンド実行(RCE)を引き起こし、リモートデバイス上で任意のコマンドを実行できます。
2026年3月にMiraiキャンペーンを検出したAkamaiのSIRTは、この欠陥はセキュリティ研究者Wang Jinshuaiとzhao Jiangtingによって13ヶ月前に初めて開示されていますが、これが初めて野生での能動的な悪用が観察されたと報告しています。
「Akamai SIRTは、2026年3月初旬に世界中のハニーポットネットワークで、D-Linkコマンドインジェクション脆弱性CVE-2025-29635の能動的な悪用の試みを検出しました」と、Akamaiのレポートに記載されています。
「この脆弱性はファームウェアバージョン240126および24082のD-Link DIR-823Xシリーズルーターに存在し、認可された攻撃者が対応する関数を介して/goform/set_prohibiting エンドポイントへのPOSTリクエストを送信することで、リモートデバイス上で任意のコマンドを実行できます。これはリモートコマンド実行をトリガーできます。」
欠陥を発見した研究者は、GitHubで一時的に概念実証(PoC)エクスプロイトを公開しましたが、後で撤回しました。
Akamaiの観察では、攻撃者は書き込み可能なパス全体のディレクトリを変更するPOSTリクエストを送信し、外部IPからシェルスクリプト(dlink.sh)をダウンロードしてそれを実行しています。
スクリプトは「tuxnokill」という名前のMiraiベースのマルウェアをインストールし、複数のアーキテクチャに対応しています。
機能に関しては、TCP SYN/ACK/STOMP、UDPフラッド、HTTPヌルを含む、Miraiの標準的な分散サービス妨害(DDoS)攻撃の機能を備えています。
Akamaiはまた、このキャンペーンの背後にある脅威アクターがTP-Linkルーターに影響するCVE-2023-1389と、ZTE ZXV10 H108Lルーターの個別のRCE欠陥も悪用していることを発見しています。すべてのデバイスで同じ攻撃パターンが観察され、Miraiペイロードの展開につながりました。
影響を受けたデバイスは2024年11月にサポート終了(EoL)に達したため、モデルの最新ファームウェアはCVE-2025-29635に対応していない可能性があります。D-Linkは能動的な悪用が検出されたときに例外を作成しないため、ベンダーが今パッチを提供する可能性は低いです。
BleepingComputerは報告されたアクティビティと修正の状態についての質問でD-Linkに連絡しており、応答を受け取り次第このポストを更新します。
一方、EoLに達したルーターのユーザーは、頻繁なセキュリティ修正による積極的なサポートを享受する新しいモデルにアップグレードすること、必要に応じてリモート管理ポータルを無効にすること、デフォルトの管理者パスワードを変更すること、および予期しない構成変更を監視することをお勧めします。
Mythosが発見したもののうち99%はまだパッチが適用されていません。
AIは4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSサンドボックスの両方を回避しました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日と14日)では、自律的でコンテキストリッチな検証がどのように悪用可能なものを見つけ、コントロールが機能することを証明し、修復ループを閉じるかを確認してください。
