Mirai 僵尸网络利用 D-Link 路由器漏洞 CVE-2025-29635

执行摘要

一个新的 Mirai 僵尸网络活动正在积极利用一个高危命令注入漏洞 CVE-2025-29635，在生命周期结束的 D-Link DIR-823X 路由器中。根据 Fortinet 的 FortiGuard Labs 的研究人员，攻击者利用这个漏洞执行任意命令并部署 Mirai 变种，将被入侵的设备征入分布式拒绝服务（DDoS）群。

技术分析

这个漏洞，跟踪为 CVE-2025-29635，CVSS 得分为 8.8。它是路由器的 Web 管理界面中 SetNetworkTomographySettings 函数的一个命令注入缺陷。正如 Fortinet 详细说明的，这个缺陷源于 Host 参数中用于 OS 命令的特殊元素的不当中和。成功的利用允许未经身份验证的攻击者在受影响的设备上以 root 权限执行任意命令。

在野外观察到的利用链涉及向易受攻击的端点发送恶意 HTTP POST 请求。此请求包含一个精心制作的 Host 参数，注入一个命令从远程服务器下载并执行一个 shell 脚本。该脚本反过来获取并运行为路由器的 MIPS 架构量身定制的 Mirai 僵尸网络二进制文件。

入侵指标

源材料中未识别出任何入侵指标。

战术、技术与程序

攻击者的主要技术，如 Fortinet 所记录的，是利用面向公众的应用程序（T1190）。他们针对 D-Link 路由器的易受攻击的 Web 界面以获得初始访问权限。在成功命令注入后，他们采用命令和脚本解释器技术（T1059）来下载并执行恶意有效载荷。最终目标是资源劫持（T1496）用于 DDoS 攻击。

威胁行为者背景

威胁行为者被识别为 Mirai 僵尸网络运营商。Mirai 是一个长期存在的恶意软件家族，它破坏物联网（IoT）设备，主要用于构建用于进行 DDoS 攻击的僵尸网络。Mirai 的源代码多年来一直公开可用，导致不同犯罪集团产生了许多变种和活动。这次活动特别针对广泛部署的、尽管生命周期结束的消费者路由器型号中的已知漏洞。

缓解措施与建议

D-Link DIR-823X 路由器在 2021 年达到了生命周期结束状态，不再从供应商那里接收安全更新。Fortinet 的研究人员强烈建议使用此型号的用户用支持的设备替换硬件。对于那些不能立即替换路由器的组织，应实施网络级控制。这些包括在专用网络段上隔离设备、阻止所有进入 WAN 访问路由器的管理员 Web 界面，并使用入侵预防系统（IPS）来检测和阻止针对 CVE-2025-29635 的利用尝试。