Die Schwachstelle CVE-2025-29635 ist eine sogenannte Command-Injection-Lücke, die es Angreifern ermöglicht, beliebige Befehle auf den betroffenen Routern auszuführen. Dies geschieht durch das Versenden speziell präparierter POST-Anfragen an den Endpunkt “/goform/set_prohibiting”. Die Firmware-Versionen 240126 und 24082 der D-Link DIR-823X Serie sind davon betroffen.
Akamais Security-Team beobachtete, wie die Angreifer eine Shell-Datei namens “dlink.sh” von einem externen Server herunterladeten und ausführten. Diese installiert anschließend eine Malware mit dem Namen “tuxnokill” – eine Mirai-Variante, die mehrere Prozessor-Architekturen unterstützt und somit auf verschiedenen Gerätetypen funktioniert.
Umfangreiches Botnetz-Arsenal
Die Malware verfügt über das klassische Mirai-Repertoire zur Durchführung von Distributed-Denial-of-Service-Angriffen: TCP SYN/ACK/STOMP-Attacken, UDP-Fluten und HTTP-Null-Floods. Dies bedeutet, dass infizierte Router für massive Cyberangriffe gegen Websites und Online-Services missbraucht werden können – was wiederum zu Ausfallzeiten und wirtschaftlichen Schäden führt.
Besonders bemerkenswert ist die Systematik der Angreifer: Akamai fand heraus, dass dieselbe Gruppe auch CVE-2023-1389 in TP-Link-Routern sowie eine weitere RCE-Lücke in ZTE ZXV10 H108L Routern exploitiert. Das identische Angriffsmuster über alle Geräte hinweg deuten auf eine koordinierte Kampagne hin.
Keine Patches mehr zu erwarten
Ein entscheidendes Problem: Die betroffenen D-Link-Router haben seit November 2024 das Ende ihres Support-Lebens erreicht. D-Link wird nach eigenen Richtlinien keine Sicherheits-Patches mehr veröffentlichen – selbst wenn aktive Angriffe beobachtet werden. Dies bedeutet, dass Millionen von Nutzern weltweit mit verwundbaren Geräten online gehen, ohne dass ein Hersteller-Fix zur Verfügung steht.
Handlungsempfehlungen
Für Besitzer solcher Router empfehlen Sicherheitsexperten folgende Maßnahmen: Der Umstieg auf ein neueres Modell mit aktivem Hersteller-Support sollte Priorität haben. Falls dies nicht unmittelbar möglich ist, sollten die Remote-Administration-Funktionen deaktiviert, die Standard-Passwörter geändert und verdächtige Konfigurationsänderungen überwacht werden.
Dieser Fall unterstreicht ein fundamentales Problem der Cybersicherheit: Alte, nicht mehr unterstützte Hardware stellt ein permanentes Risiko dar – nicht nur für einzelne Nutzer, sondern für die gesamte Internetinfrastruktur. Deutsche IT-Sicherheitsbehörden sollten diesen Trend ernst nehmen.