Một lỗ hổng bảo mật nghiêm trọng mới được phát hiện trong các router gateway D-Link DSL đời cũ đang bị khai thác tích cực trong thực tế.
Lỗ hổng, được theo dõi là CVE-2026-0625 (điểm CVSS: 9.3), liên quan đến một trường hợp command injection trong điểm cuối "dnscfg.cgi" phát sinh do việc không xử lý đúng cách các tham số cấu hình DNS do người dùng cung cấp.
"Một kẻ tấn công từ xa không cần xác thực có thể inject và thực thi các lệnh shell tùy ý, dẫn đến remote code execution," VulnCheck lưu ý trong một cảnh báo.
"Điểm cuối bị ảnh hưởng cũng liên quan đến hành vi sửa đổi DNS không cần xác thực ('DNSChanger') được D-Link ghi nhận, công ty đã báo cáo các chiến dịch khai thác tích cực nhắm mục tiêu vào các biến thể firmware của các mẫu DSL-2740R, DSL-2640B, DSL-2780B và DSL-526B từ năm 2016 đến năm 2019."
Công ty an ninh mạng cũng lưu ý rằng các nỗ lực khai thác nhắm mục tiêu vào CVE-2026-0625 đã được Shadowserver Foundation ghi nhận vào ngày 27 tháng 11 năm 2025. Một số thiết bị bị ảnh hưởng đã đạt trạng thái end-of-life (EoL) kể từ đầu năm 2020 -
- DSL-2640B <= 1.07
- DSL-2740R < 1.17
- DSL-2780B <= 1.01.14
- DSL-526B <= 2.01
Trong một cảnh báo riêng, D-Link đã bắt đầu một cuộc điều tra nội bộ sau báo cáo từ VulnCheck vào ngày 16 tháng 12 năm 2025, về việc khai thác tích cực "dnscfg.cgi", và cho biết họ đang nỗ lực xác định việc sử dụng thư viện CGI trong quá khứ và hiện tại trên tất cả các sản phẩm của mình.
Hãng cũng dẫn chứng những phức tạp trong việc xác định chính xác các mẫu bị ảnh hưởng do sự khác biệt trong việc triển khai firmware và các thế hệ sản phẩm. Một danh sách cập nhật các mẫu cụ thể dự kiến sẽ được công bố vào cuối tuần này sau khi hoàn tất việc xem xét ở cấp độ firmware.
"Phân tích hiện tại cho thấy không có phương pháp phát hiện số model đáng tin cậy nào ngoài việc kiểm tra firmware trực tiếp," D-Link cho biết. "Vì lý do này, D-Link đang xác thực các bản dựng firmware trên các nền tảng cũ và được hỗ trợ như một phần của cuộc điều tra."
Ở giai đoạn này, danh tính của các threat actors khai thác lỗ hổng và quy mô của các nỗ lực đó vẫn chưa được biết. Do lỗ hổng này ảnh hưởng đến các sản phẩm gateway DSL đã ngừng sản xuất, điều quan trọng là chủ sở hữu thiết bị phải loại bỏ chúng và nâng cấp lên các thiết bị được hỗ trợ tích cực, nhận được các bản cập nhật firmware và bảo mật thường xuyên.
"CVE-2026-0625 làm lộ cơ chế cấu hình DNS tương tự đã được sử dụng trong các chiến dịch DNS hijacking quy mô lớn trước đây," Field Effect cho biết. "Lỗ hổng cho phép remote code execution không cần xác thực thông qua điểm cuối dnscfg.cgi, cấp cho kẻ tấn công quyền kiểm soát trực tiếp cài đặt DNS mà không cần thông tin đăng nhập hoặc tương tác với người dùng."
"Sau khi bị thay đổi, các mục nhập DNS có thể âm thầm chuyển hướng, chặn hoặc khóa lưu lượng truy cập hạ nguồn, dẫn đến một sự compromise dai dẳng ảnh hưởng đến mọi thiết bị phía sau router. Bởi vì các mẫu D-Link DSL bị ảnh hưởng đã EoL và không thể vá, các tổ chức tiếp tục vận hành chúng phải đối mặt với rủi ro hoạt động cao."
