D-Linkは、すべてのモデルおよびハードウェアリビジョンのDIR-878ルーターに影響する、リモートから悪用可能な3つのコマンド実行脆弱性について警告しており、この製品はすでにサービス終了となっているものの、いくつかの市場では依然として販売されています。
これらの脆弱性を実証する技術的な詳細および概念実証(PoC)エクスプロイトコードは、Yangyifanという名前を使用する研究者によって公開されています。
一般的に家庭や小規模オフィスで使用されるDIR-878は、2017年の発売当時、高性能なデュアルバンド無線ルーターとして評価されていました。
このデバイスはすでにサポート対象外となっていますが、新品または中古品が75ドルから122ドルの価格帯で依然として購入可能です。
しかし、DIR-878は2021年にサポート終了(EoL)となっているため、D-Linkはこのモデルに対してセキュリティアップデートを提供しないと警告しており、現行サポート対象の製品への置き換えを推奨しています。
合計で、D-Linkのセキュリティアドバイザリには4件の脆弱性が記載されており、そのうち1件のみが悪用に物理アクセスまたはUSBデバイスの制御を必要とします。
- CVE-2025-60672 – NVRAMに保存され、システムコマンドで使用されるSetDynamicDNSSettingsパラメータを介した、リモートからの認証不要なコマンド実行。
- CVE-2025-60673 – SetDMZSettingsおよびiptablesコマンドに注入される未サニタイズのIPAddress値を介した、リモートからの認証不要なコマンド実行。
- CVE-2025-60674 – USBストレージ処理における「Serial Number」フィールドの過大サイズに起因するスタックオーバーフロー(物理的またはUSBデバイスレベルの攻撃)。
- CVE-2025-60676 – /tmp/new_qos.rule内の未サニタイズフィールドを介した任意コマンド実行。これらはsystem()を使用するバイナリによって処理されます。
これらはリモートから悪用可能であり、エクスプロイトコードもすでに公開されていますが、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、これらの脆弱性を中程度の深刻度と評価しています。
しかし、公開されたエクスプロイトは通常、脅威アクター、特にボットネット運用者の関心を引きつけ、彼らは標的範囲を拡大するためにそれらを武器庫に組み込むのが一般的です。
たとえば、大規模ボットネットであるRondoDoxは、D-Link製デバイスにも影響するものを含む56件を超える既知の脆弱性を悪用しており、さらに次々と追加しています。
より最近では、BleepingComputerはAisuruボットネットについて報じており、同ボットネットはMicrosoftのAzureネットワークに対して大規模な分散型サービス拒否(DDoS)攻撃を実行し、50万を超えるIPアドレスから毎秒15.72テラビット(Tbps)を送信しました。
