MalwareIoT-SicherheitSchwachstellen

Mirai-Botnet greift veraltete D-Link-Router an: Ein Jahr nach Sicherheitslücken-Veröffentlichung

Mirai-Botnet greift veraltete D-Link-Router an: Ein Jahr nach Sicherheitslücken-Veröffentlichung
Zusammenfassung

Das Mirai-Botnet hat gezielt eine Kommando-Injection-Schwachstelle in veralteten D-Link-Routern der DIR-823X-Serie ins Visier genommen, die bereits vor einem Jahr öffentlich bekannt gemacht wurde. Die als CVE-2025-29635 katalogisierte Sicherheitslücke ermöglicht es Angreifern, über manipulierte POST-Anfragen unbefugte Befehle auszuführen, da die Router Benutzereingaben ohne Validierung verarbeiten. Besonders bemerkenswert ist, dass die praktischen Exploits erst ein Jahr nach der Veröffentlichung des Proof-of-Concept-Codes begannen – ein Muster, das auf wachsendes Interesse von Cyberkriminellen hindeutet. Für deutsche Nutzer und Unternehmen stellt dies ein erhebliches Risiko dar, da veraltete Router häufig noch in Haushalten und kleineren Netzwerken betrieben werden und keine Sicherheitsupdates mehr erhalten. D-Link hat die betroffenen Geräte bereits als veraltet eingestuft und empfiehlt deren Abschaltung. Die Bedrohung ist jedoch nicht auf D-Link beschränkt – Sicherheitsforscher von Akamai beobachten ähnliche Angriffe auf TP-Link und ZTE-Router. Dies unterstreicht ein systemisches Problem: Die niedrige Einstiegshürde für Botnet-Operationen und die weiterverbreitete Nutzung von Mirai-Quellcode machen IoT-Geräte zu attraktiven Zielen für Cyberkriminelle mit unterschiedlichem Expertise-Level.

Die Sicherheitsforschungen von Akamai werfen ein Schlaglicht auf ein zunehmendes Problem im IoT-Bereich: Die Exploitierung von längst bekannten Schwachstellen in Geräten, die nicht mehr unterstützt werden. Die Command-Injection-Lücke CVE-2025-29635 in D-Link DIR-823X Routern ist ein klassisches Beispiel dafür, wie Angreifer systematisch veraltete Hardware ins Visier nehmen.

Das Funktionsprinzip der Anfälligkeit ist technisch relativ einfach: Der Router validiert einen Funktionswert aus einer POST-Anfrage nicht ausreichend, bevor dieser in einen Befehlspuffer kopiert wird. Angreifer können dadurch beliebige Befehle auf dem Gerät ausführen. Die betroffenen Firmware-Versionen 240126 und 24082 sind bereits mehrere Jahre alt.

Besonders bemerkenswert ist der zeitliche Ablauf: Der Quellcode für einen funktionierenden Exploit wurde vor etwa einem Jahr auf GitHub veröffentlicht — später wurde er wieder entfernt. Die jetzt beobachteten Angriffe nutzen genau diese öffentlich verfügbare Exploittechnik. Die Angreifer laden dabei ein Shell-Skript nach, das einen Mirai-Payload mit typischen Kennzeichen herunterlädt und ausführt: XOR-Verschlüsselung, hartcodierte Konsolen-Ausführungszeichenketten und feste Downloader-IP-Adressen.

Mirai bleibt eines der hartnäckigsten Botnetz-Programme der Cyberkriminalität. Der Originalquellcode wurde vor Jahren veröffentlicht und wird seitdem von zahlreichen Akteuren modifiziert und wiederverwendet. Die niedrige Einstiegshürde und das finanzielle Potential machen es für Cyberkriminelle attraktiv, eigene Mirai-Varianten zu betreiben.

Akamai warnt zudem vor ähnlichen Kampagnen gegen TP-Link und ZTE Router. D-Link hatte bereits im September offiziell empfohlen, die betroffenen Geräte stillzulegen, da jede weitere Verwendung ein Risiko für vernetzte Geräte darstellt.

Für deutsche Nutzer und Unternehmen bedeutet dies: Alte Router sollten dringend gegen aktuelle Modelle ausgetauscht werden. Wer noch auf älteren Hardware-Versionen läuft, riskiert nicht nur DDoS-Missbrauch, sondern auch Netzwerk-Kompromittierungen und Datenklau. Die Erkenntnis unterstreicht die Wichtigkeit von regelmäßigen Hardware-Upgrades und dem End-of-Life-Management in der IT-Sicherheit.

Ähnliche Artikel