NEWS
Ein neues Mirai-basiertes Botnet greift Router der Serie „DIR-823X" von D-Link an und nutzt dabei CVE-2025-29635 aus. Ein präparierter POST-Request reicht aus, um beliebigen Code auf dem Gerät auszuführen.
Laut Akamai SIRT, das die Kampagne aufgedeckt hat, lädt das Gerät nach dem POST-Request ein Skript nach, das die Mirai-Variante „tuxnokill" installiert. Die infizierten Router reihen sich anschließend in das übliche DDoS-Repertoire von Mirai ein. Die betroffene Serie hat seit November 2024 den End-of-Life-Status erreicht und wird voraussichtlich kein Firmware-Update mehr erhalten.
Was jetzt zu tun ist:
- EoL-Geräte durch unterstützte Modelle ersetzen
- eingehende POST-Requests auf verdächtige Muster monitoren
Autor: Michael Niers
