**Mirai**ボットネット、未パッチの**D-Link**ルーター脆弱性を悪用 新しい**Mirai**ベースのマルウェアキャンペーンが、**D-Link DIR-823X**ルーターに影響を与える高深刻度のコマンドインジェクション脆弱性である**CVE-2025-29635**を積極的に悪用し、デバイスをボットネットに登録しています。 **CVE-2025-29635**は、攻撃者が脆弱なエンドポイントにPOSTリクエストを送信することで、リモートデバイス上で任意のコマンドを実行し、リモートコマンド実行（RCE）をトリガーすることを可能にします。 **Akamai**のSIRTは、2026年3月にこの**Mirai**キャンペーンを検知しましたが、この脆弱性はセキュリティ研究者のWang Jinshuai氏とZhao Jiangting氏によって13ヶ月前に初めて開示されたものの、実際に悪用されているのが観測されたのは今回が初めてであると報告しています。 **Akamai**のレポートには、「**Akamai** SIRTは、2026年3月初旬に、グローバルなハニーポットネットワークで**D-Link**コマンドインジェクション脆弱性**CVE-2025-29635**の積極的な悪用試行を検知しました」と記載されています。 「この脆弱性は、**D-Link DIR-823X**シリーズルーターのファームウェアバージョン240126および24082に存在し、正規の攻撃者が対応する関数を介して`/goform/set_prohibiting`エンドポイントにPOSTリクエストを送信することにより、リモートデバイス上で任意のコマンドを実行することを可能にし、リモートコマンド実行を引き起こす可能性があります。」 この脆弱性を発見した研究者たちは、GitHub上で概念実証（PoC）exploitを短期間公開しましたが、後に撤回しました。 **Akamai**の観測によると、攻撃者は書き込み可能なパス全体でディレクトリを変更し、外部IPからシェルスクリプト（dlink.sh）をダウンロードして実行するPOSTリクエストを送信しています。  *出典: Akamai* このスクリプトは、「tuxnokill」という名前の**Mirai**ベースのマルウェアをインストールし、複数のアーキテクチャをサポートしています。 機能面では、TCP SYN/ACK/STOMP、UDPフラッド、HTTP nullを含む、**Mirai**の標準的な分散型サービス拒否（DDoS）攻撃のレパートリーを備えています。 **Akamai**はまた、このキャンペーンの背後にある脅威アクターが、**TP-Link**ルーターに影響を与える**CVE-2023-1389**と、**ZTE ZXV10 H108L**ルーターの別のRCE脆弱性も悪用していることを発見しました。これらすべてで同じ攻撃パターンが観測され、**Mirai** payloadの展開につながりました。 影響を受けたデバイスは2024年11月にEOL（End of Life）を迎えたため、このモデルで利用可能な最新ファームウェアは**CVE-2025-29635**に対処していない可能性が高いです。**D-Link**は、積極的な悪用が検知された場合、例外を設けないため、ベンダーが現在修正パッチを提供する可能性は低いと思われます。 BleepingComputerは、報告された活動と修正の状況について**D-Link**に問い合わせており、返信があり次第、この投稿を更新します。 それまでの間、EOLを迎えたルーターのユーザーは、新しいモデルへのアップグレード（頻繁なセキュリティ修正が提供されるアクティブサポートのあるもの）、必要でない場合はリモート管理ポータルを無効にすること、デフォルトの管理者パスワードを変更すること、予期しない設定変更を監視することが推奨されます。