🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma nova campanha de malware baseada em Mirai está explorando ativamente CVE-2025-29635, uma vulnerabilidade de injeção de comando de alta gravidade que afeta roteadores D-Link DIR-823X, para inscrever dispositivos na botnet.
CVE-2025-29635 permite que um invasor execute comandos arbitrários em dispositivos remotos, enviando uma solicitação POST para um endpoint vulnerável, acionando a execução remota de comando (RCE).
O SIRT da Akamai, que detectou a campanha Mirai em março de 2026, relata que, embora a falha tenha sido divulgada pela primeira vez há 13 meses pelos pesquisadores de segurança Wang Jinshuai e Zhao Jiangting, esta é a primeira vez que a exploração ativa na natureza foi observada.
“O Akamai SIRT descobriu tentativas ativas de exploração da vulnerabilidade de injeção de comando D-Link CVE-2025-29635 em nossa rede global de honeypots no início de março de 2026”, diz o relatório da Akamai.
"Esta vulnerabilidade existe nos roteadores da série D-Link DIR-823X nas versões de firmware 240126 e 24082 e permite que um invasor autorizado execute comandos arbitrários em dispositivos remotos, enviando uma solicitação POST para o endpoint /goform/set_prohibiting por meio da função correspondente, que pode acionar a execução remota de comandos."
Os pesquisadores que descobriram a falha publicaram brevemente uma exploração de prova de conceito (PoC) no GitHub, mas depois a retiraram.
As observações da Akamai mostram que os invasores estão enviando solicitações POST que alteram diretórios através de caminhos graváveis, baixam um script de shell (dlink.sh) de um IP externo e o executam.
As solicitações POST observadasFonte: Akamai
O script instala um malware baseado em Mirai chamado “tuxnokill”, que suporta múltiplas arquiteturas.
Em termos de recursos, ele apresenta o repertório de ataques de negação de serviço distribuído (DDoS) padrão da Mirai, incluindo TCP SYN/ACK/STOMP, inundações UDP e HTTP nulo.
A Akamai também descobriu que o autor da ameaça por trás desta campanha também explora o CVE-2023-1389, impactando os roteadores TP-Link, e uma falha RCE separada nos roteadores ZTE ZXV10 H108L. O mesmo padrão de ataque foi observado em todos eles, levando à implantação de uma carga Mirai.
Os dispositivos afetados atingiram o fim da vida útil (EoL) em novembro de 2024, portanto, é provável que o firmware mais recente disponível para o modelo não atenda ao CVE-2025-29635. A D-Link não abre exceções quando a exploração ativa é detectada, então é improvável que o fornecedor forneça um patch de correção agora.
BleepingComputer entrou em contato com a D-Link com perguntas sobre a atividade relatada e o status da correção, e atualizaremos esta postagem assim que recebermos uma resposta.
Enquanto isso, recomenda-se que os usuários de roteadores que atingiram o EoL atualizem para um modelo mais recente que desfrute de suporte ativo com correções de segurança frequentes, desativem portais de administração remota se não forem necessários, alterem as senhas de administrador padrão e monitorem alterações inesperadas na configuração.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
CVE-2025-29635 permite que um invasor execute comandos arbitrários em dispositivos remotos, enviando uma solicitação POST para um endpoint vulnerável, acionando a execução remota de comando (RCE).
O SIRT da Akamai, que detectou a campanha Mirai em março de 2026, relata que, embora a falha tenha sido divulgada pela primeira vez há 13 meses pelos pesquisadores de segurança Wang Jinshuai e Zhao Jiangting, esta é a primeira vez que a exploração ativa na natureza foi observada.
“O Akamai SIRT descobriu tentativas ativas de exploração da vulnerabilidade de injeção de comando D-Link CVE-2025-29635 em nossa rede global de honeypots no início de março de 2026”, diz o relatório da Akamai.
"Esta vulnerabilidade existe nos roteadores da série D-Link DIR-823X nas versões de firmware 240126 e 24082 e permite que um invasor autorizado execute comandos arbitrários em dispositivos remotos, enviando uma solicitação POST para o endpoint /goform/set_prohibiting por meio da função correspondente, que pode acionar a execução remota de comandos."
Os pesquisadores que descobriram a falha publicaram brevemente uma exploração de prova de conceito (PoC) no GitHub, mas depois a retiraram.
As observações da Akamai mostram que os invasores estão enviando solicitações POST que alteram diretórios através de caminhos graváveis, baixam um script de shell (dlink.sh) de um IP externo e o executam.
As solicitações POST observadasFonte: Akamai
O script instala um malware baseado em Mirai chamado “tuxnokill”, que suporta múltiplas arquiteturas.
Em termos de recursos, ele apresenta o repertório de ataques de negação de serviço distribuído (DDoS) padrão da Mirai, incluindo TCP SYN/ACK/STOMP, inundações UDP e HTTP nulo.
A Akamai também descobriu que o autor da ameaça por trás desta campanha também explora o CVE-2023-1389, impactando os roteadores TP-Link, e uma falha RCE separada nos roteadores ZTE ZXV10 H108L. O mesmo padrão de ataque foi observado em todos eles, levando à implantação de uma carga Mirai.
Os dispositivos afetados atingiram o fim da vida útil (EoL) em novembro de 2024, portanto, é provável que o firmware mais recente disponível para o modelo não atenda ao CVE-2025-29635. A D-Link não abre exceções quando a exploração ativa é detectada, então é improvável que o fornecedor forneça um patch de correção agora.
BleepingComputer entrou em contato com a D-Link com perguntas sobre a atividade relatada e o status da correção, e atualizaremos esta postagem assim que recebermos uma resposta.
Enquanto isso, recomenda-se que os usuários de roteadores que atingiram o EoL atualizem para um modelo mais recente que desfrute de suporte ativo com correções de segurança frequentes, desativem portais de administração remota se não forem necessários, alterem as senhas de administrador padrão e monitorem alterações inesperadas na configuração.
99% do que o Mythos encontrou ainda não foi corrigido.
A IA encadeou quatro dias zero em uma exploração que contornou os sandboxes do renderizador e do sistema operacional. Uma onda de novas explorações está chegando.No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles são válidos e fecha o ciclo de remediação.
Reivindique seu lugar
#samirnews #samir #news #boletimtec #nova #campanha #mirai #explora #falha #rce #em #roteadores #eol #dlink
🔔 Siga-nos para não perder nenhuma atualização!
Postar um comentário