**Mirai** Botnet nutzt ungepatchte **D-Link** Router-Schwachstelle aus Eine neue **Mirai**-basierte Malware-Kampagne nutzt aktiv **CVE-2025-29635** aus, eine Schwachstelle mit hoher Schweregrad für Command Injection, die **D-Link DIR-823X** Router betrifft, um Geräte in das Botnet aufzunehmen. **CVE-2025-29635** ermöglicht es einem Angreifer, beliebige Befehle auf entfernten Geräten auszuführen, indem eine POST-Anfrage an einen anfälligen Endpunkt gesendet wird, was eine Remote Command Execution (RCE) auslöst. **Akamai**s SIRT, das die **Mirai**-Kampagne im März 2026 entdeckte, berichtet, dass dies, obwohl der Fehler bereits vor 13 Monaten von den Sicherheitsforschern Wang Jinshuai und Zhao Jiangting offengelegt wurde, die erste Beobachtung einer aktiven Ausnutzung in freier Wildbahn ist. "Der **Akamai** SIRT entdeckte Anfang März 2026 aktive Ausnutzungsversuche der **D-Link** Command Injection Schwachstelle **CVE-2025-29635** in unserem globalen Netzwerk von Honeypots", heißt es in **Akamai**s Bericht. "Diese Schwachstelle existiert in **D-Link DIR-823X** Serien-Routern in den Firmware-Versionen 240126 und 24082 und ermöglicht es einem autorisierten Angreifer, beliebige Befehle auf entfernten Geräten auszuführen, indem eine POST-Anfrage an den Endpunkt /goform/set_prohibiting über die entsprechende Funktion gesendet wird, was eine Remote Command Execution auslösen kann." Die Forscher, die den Fehler entdeckten, veröffentlichten kurzzeitig einen Proof-of-Concept (PoC) **exploit** auf GitHub, zogen ihn aber später zurück. **Akamai**s Beobachtungen zeigen, dass Angreifer POST-Anfragen senden, die Verzeichnisse über beschreibbare Pfade wechseln, ein Shell-Skript (dlink.sh) von einer externen IP-Adresse herunterladen und ausführen.  *Quelle: Akamai* Das Skript installiert eine **Mirai**-basierte **malware** namens "tuxnokill", die mehrere Architekturen unterstützt. In Bezug auf die Fähigkeiten verfügt es über **Mirai**s Standard-Repertoire für Distributed Denial-of-Service (DDoS)-Angriffe, einschließlich TCP SYN/ACK/STOMP, UDP-Floods und HTTP-Null. **Akamai** hat außerdem festgestellt, dass der Bedrohungsakteur hinter dieser Kampagne auch **CVE-2023-1389**, das **TP-Link** Router betrifft, und eine separate RCE-Schwachstelle in **ZTE ZXV10 H108L** Routern ausnutzt. Das gleiche Angriffsmuster wurde bei allen beobachtet, was zur Bereitstellung einer **Mirai** **payload** führte. Die betroffenen Geräte erreichten im November 2024 das End of Life (EoL), daher ist es wahrscheinlich, dass die neueste verfügbare Firmware für das Modell **CVE-2025-29635** nicht behebt. **D-Link** macht keine Ausnahmen, wenn eine aktive Ausnutzung erkannt wird, daher ist es unwahrscheinlich, dass der Anbieter jetzt einen Behebungs-Patch bereitstellen wird. BleepingComputer hat **D-Link** mit Fragen zu der gemeldeten Aktivität und dem Status der Behebung kontaktiert und wird diesen Beitrag aktualisieren, sobald wir eine Antwort erhalten. In der Zwischenzeit wird Benutzern von Routern, die das EoL erreicht haben, empfohlen, auf ein neueres Modell aufzurüsten, das aktive Unterstützung mit häufigen Sicherheitsfixes bietet, Fernadministrationsportale zu deaktivieren, falls nicht benötigt, Standard-Admin-Passwörter zu ändern und auf unerwartete Konfigurationsänderungen zu achten.