廃止されたD-Linkゲートウェイデバイスに存在するOSコマンドインジェクションの脆弱性が、ゼロデイとして実際に悪用されています。
CVE-2026-0625(CVSSスコア9.3)として追跡されているこのセキュリティ欠陥は、dnscfg.cgiライブラリがユーザー提供のDNS設定パラメータを適切にサニタイズしていないことに起因します。
脆弱性インテリジェンス企業VulnCheckによると、この問題により、リモートの未認証攻撃者が任意のシェルコマンドを注入して実行でき、リモートコード実行(RCE)を達成可能になります。
「影響を受けるエンドポイントは、D-Linkが文書化した未認証のDNS改変(DNSChanger)の挙動にも関連しており、D-Linkは2016年から2019年にかけて、DSL-2740R、DSL-2640B、DSL-2780B、DSL-526B各モデルのファームウェア派生版を標的とする活発な悪用キャンペーンを報告していました」と、VulnCheckは述べています。
The Shadowserver Foundationのデータに基づくと、CVE-2026-0625は2025年11月下旬以降、実際に悪用されていると同社は指摘しています。
D-Linkによれば、この悪用されているゼロデイは複数のデバイスモデルに影響します。しかし、ファームウェア実装の差異により、脆弱な機器の一覧を作成することは困難です。
「D-Linkは影響を受けるデバイスを特定するため、ファームウェアレベルでの詳細なレビューを継続しています。精査中の具体的なモデルおよび該当する場合はファームウェアバージョンの更新リストを、今週後半に公開する予定です」と、同社はアドバイザリで述べています。
D-Linkによると、脆弱性が確認されたモデルは、約5年前に製造中止となった旧式のDSLゲートウェイ機器です。
「これまでに確認された所見はすべて、5年以上前に製品寿命(End of Life)またはサポート終了(End of Support)に達した旧式のDSLゲートウェイ製品を指しています。これらの製品は、もはやファームウェア更新、セキュリティパッチ、または継続的なエンジニアリング保守を受けません」と同社は説明しています。
同社によれば、このゼロデイに対するパッチはリリースされず、脆弱なD-Link製品の所有者は当該機器を廃棄し、サポート対象のモデルに置き換えるべきです。
CVE-2026-0625を悪用する攻撃に関する情報は現時点ではないようですが、侵害されたD-Linkのネットワーク機器は、DDoS攻撃、プロキシサービス、トラフィックの傍受およびリダイレクト、横展開など、さまざまな目的で脅威アクターに悪用され得ます。
翻訳元: https://www.securityweek.com/hackers-exploit-zero-day-in-discontinued-d-link-devices/
