脅威アクターが、数年前にサポート終了となった複数のD-Link製DSLゲートウェイルーターに影響する、最近発見されたコマンドインジェクションの脆弱性を悪用しています。
この脆弱性は現在CVE-2026-0625として追跡されており、CGIライブラリにおける不適切な入力サニタイズにより、dnscfg.cgiエンドポイントに影響します。認証されていない攻撃者がこれを悪用し、DNS設定パラメータを介してリモートコマンドを実行できる可能性があります。
脆弱性インテリジェンス企業のVulnCheckは、The Shadowserver Foundationが同社のハニーポットの1つでコマンドインジェクションの悪用試行を観測した後、12月15日にこの問題をD-Linkへ報告しました。
VulnCheckはBleepingComputerに対し、Shadowserverが捕捉した手法は公に文書化されていないようだと述べました。
「認証されていないリモート攻撃者が任意のシェルコマンドを注入して実行でき、その結果リモートコード実行に至る可能性があります」とVulnCheckはセキュリティアドバイザリで述べています。
VulnCheckとの協力のもと、D-Linkは以下のデバイスモデルおよびファームウェアバージョンがCVE-2026-0625の影響を受けることを確認しました:
- DSL-526B ≤ 2.01
- DSL-2640B ≤ 1.07
- DSL-2740R < 1.17
- DSL-2780B ≤ 1.01.14
上記は2020年以降にすでに製品寿命終了(EoL)に達しており、CVE-2026-0625に対処するためのファームウェア更新は提供されません。そのため、ベンダーは影響を受けるデバイスを廃止し、サポート対象のモデルへ置き換えることを強く推奨しています。
D-Linkは、さまざまなファームウェアリリースを分析し、他の製品が影響を受けるかどうかを引き続き特定しようとしています。
「ファームウェア実装や製品世代の違いにより、影響を受けるすべてのモデルを正確に特定することは、D-LinkとVulnCheckの双方にとって複雑です」とD-Linkは説明しています。
「現在の分析では、ファームウェアを直接調査する以外に、信頼できるモデル番号の検出方法はありません。このため、D-Linkは調査の一環として、旧式およびサポート対象プラットフォーム全体でファームウェアビルドを検証しています」とベンダーは述べています。
現時点では、誰がこの脆弱性を悪用しているのか、またどのような標的に対してなのかは不明です。しかしVulnCheckによれば、一般的な家庭用ルーターの設定では、dnscfg.cgiのような管理用Common Gateway Interface(CGI)エンドポイントへのアクセスはLAN内に限定されていることがほとんどです。
CVE-2026-0625を悪用するには、ブラウザベースの攻撃、または標的デバイスがリモート管理用に設定されていることが前提となります。
製品寿命終了(EoL)のルーターやネットワーク機器の利用者は、ベンダーが積極的にサポートしているモデルに置き換えるか、重要ではないネットワーク(可能であればセグメント化された環境)で、入手可能な最新のファームウェアバージョンと制限的なセキュリティ設定を用いて運用すべきです。
D-Linkは、EoLデバイスはファームウェア更新、セキュリティパッチ、またはいかなる保守も受けられないとユーザーに警告しています。
