CISA警告D-Link路由器命令注入漏洞被用於實際攻擊
漏洞詳情
CVE-2025-29635為命令注入漏洞,取得授權的攻擊者可藉由特定的功能,發送POST請求到/goform/set_prohibiting觸發漏洞,從而觸發遠端命令執行(RCE)。
實際攻擊案例
上週資安公司Akamai揭露殭屍網路Mirai變種tuxnokill攻擊行動,駭客利用命令注入漏洞CVE-2025-29635,綁架產品生命週期已經結束(EOL)的D-Link路由器DIR-823X,並用於實際攻擊。
官方聲明
美國網路安全暨基礎設施安全局(CISA)將CVE-2025-29635列入已遭利用的漏洞名冊(KEV),證實這個存在於D-Link路由器DIR-823X的資安漏洞出現實際利用的情況。
相關資訊
- 該漏洞源自於對文件/goform/set_device_name中參數mac的錯誤操作,攻擊者可利用該漏洞導致遠端命令注入。
- 部分D-Link路由器型號存在未關閉的產線測試工具後門程式,未經身分鑑別之內部區域網路攻擊者可透過存取特定URL強制開啟設備Telnet服務,並利用解析韌體取得的管理員帳戶。