A kiberbűnözők aktívan kihasználnak egy nemrég azonosított parancsinjektálási sebezhetőséget, amely több, életciklusa végére ért (EoL) D-Link DSL gateway routert érint. A CVE-2026-0625 azonosítón nyomon követett sebezhetőség a dnscfg.cgi végpontot érinti, egy CGI-könyvtárban nem megfelelően szűrt bemenetek miatt. Egy hitelesítés nélküli támadó ezt kihasználva DNS-konfigurációs paramétereken keresztül távoli parancsvégrehajtást hajthat végre.

A sérülékenységfelderítéssel foglalkozó VulnCheck december 15-én jelentette az esetet a D-Linknek, miután a The Shadowserver Foundation egy parancsinjektálási kísérletet észlelt egyik honeypotján. A VulnCheck közleménye szerint egy hitelesítés nélküli, távoli támadó tetszőleges shell parancsokat képes injektálni és végrehajtani, ami távoli kódfuttatáshoz vezet.

A VulnCheckkel együttműködve a D-Link megerősítette, hogy a CVE-2026-0625 az alábbi DSL gateway router modelleket és firmware-verziókat érinti:

• DSL-526B ≤ 2.01
• DSL-2640B ≤ 1.07
• DSL-2740R < 1.17
• DSL-2780B ≤ 1.01.14

Az érintett eszközök 2020 óta nem támogatottak, ezáltal nem kapnak firmware-frissítést a sebezhetőség javítására. Ennek megfelelően a gyártó határozottan javasolja ezen gateway routerek kivonását és támogatott modellekre történő cseréjét.

A D-Link jelenleg is vizsgálja, hogy további termékek érintettek-e, a különböző firmware-kiadások elemzésével. Egyelőre nincs információ arról, hogy kik állnak a sebezhetőség kihasználása mögött, illetve milyen célpontokat érintenek a támadások. A VulnCheck ugyanakkor felhívta a figyelmet, hogy a legtöbb lakossági router alapértelmezett konfigurációja esetén az adminisztrációs CGI végpontok (Common Gateway Interface), mint a dnscfg.cgi kizárólag a helyi hálózatról érhetők el. A CVE-2026-0625 sikeres kihasználása ezért böngészőalapú támadást, vagy távoli adminisztrációra konfigurált eszközt feltételeznek.

(forrás, forrás)