【安全资讯】新型Mirai僵尸网络利用D-Link路由器零日漏洞发起攻击

概要：

近日，Akamai安全团队发现一起针对D-Link DIR-823X路由器的Mirai僵尸网络攻击活动。攻击者利用编号为CVE-2025-29635的高危命令注入漏洞，通过发送特制POST请求远程执行任意代码，将已停止支持的设备纳入僵尸网络。这是该漏洞自13个月前披露以来首次被大规模野外利用，凸显了老旧设备面临的安全风险。

主要内容：

该攻击活动由Akamai SIRT团队于2026年3月在全球蜜罐网络中首次捕获。漏洞CVE-2025-29635存在于D-Link DIR-823X系列路由器的固件版本240126和24082中，攻击者可通过向/goform/set_prohibiting端点发送POST请求触发远程命令执行。研究人员王金帅和赵江亭最初在GitHub上发布了概念验证代码，但随后撤回。

攻击者利用该漏洞下载并执行名为dlink.sh的shell脚本，该脚本会安装名为“tuxnokill”的Mirai变种恶意软件。该恶意软件支持多种架构，具备Mirai标准的分布式拒绝服务攻击能力，包括TCP SYN/ACK/STOMP、UDP洪水及HTTP空请求等。Akamai还发现，同一攻击者也利用CVE-2023-1389漏洞攻击TP-Link路由器，以及针对中兴ZXV10 H108L路由器的远程代码执行漏洞，均采用相同的攻击模式部署Mirai载荷。

受影响设备已于2024年11月达到生命周期终点，因此最新固件版本并未修复该漏洞。D-Link公司通常不会为已停止支持的设备提供安全补丁。建议用户尽快升级到仍在支持周期内的新型号路由器，禁用不必要的远程管理功能，更改默认管理员密码，并监控设备配置的异常变化。此次攻击事件再次警示，物联网设备的安全生命周期管理至关重要，老旧设备一旦失去厂商支持，极易成为僵尸网络的攻击目标。