Akamai 安全情报和响应团队（SIRT）近期发布警报，着重指出 Edimax 物联网（IoT）设备中存在严重的命令注入漏洞。该漏洞被编号为 CVE - 2025 - 1316，已被多个僵尸网络频繁利用，用于传播臭名昭著的 Mirai 恶意软件。Mirai 恶意软件向来以危害物联网设备、发动分布式拒绝服务（DDoS）攻击而闻名。

漏洞概述

CVE - 2025 - 1316 漏洞主要针对 Edimax 设备中的 /camera - cgi/admin/param.cgi 端点，攻击者能够借此将命令注入到 ipcamSource 参数内的 NTP_serverName 选项中。成功利用该漏洞需要使用默认凭据，例如 admin:1234。虽然 CVE 特别提及 Edimax 的 IC - 7100 网络摄像头，但实际上该漏洞可能影响范围更广的 Edimax 设备。

Akamai SIRT 早在 2024 年 10 月初就在蜜罐中首次检测到针对此漏洞的攻击活动。

Mirai恶意软件样本主要功能

而该漏洞的概念验证（PoC）可追溯至 2023 年 6 月。最早的漏洞利用尝试出现在 2024 年 5 月，在 2024 年 9 月以及 2025 年 1 月至 2 月期间达到高峰。这些攻击源于不同的僵尸网络，其中就包括 Mirai 变种。

漏洞代码示例

此漏洞通过注入命令，在设备上执行 shell 脚本。以下是一个请求负载示例：

上述脚本会下载并执行针对 ARM、MIPS 和 x86 等不同架构的 Mirai 恶意软件变体。

恶意软件执行命令

恶意软件下载完成后，将通过以下命令执行：