- 重大なコマンドインジェクションの欠陥(9.3/10)であるCVE-2026-0625が、旧式のD-Linkゲートウェイルーターで実際に悪用されている
- 脆弱なモデルにはDSL-2740R、DSL-2640B、DSL-2780B、DSL-526Bが含まれ、2025年11月以降に攻撃が観測されている
- 侵害されたルーターはRCE、認証情報の窃取、ランサムウェア、ボットネット活動を可能にし得るため、研究者はサポート終了機器の置き換えを促している
D-Linkは、数年前に製品寿命(EoL)を迎えた同社のゲートウェイルーターの一部が、現実世界で悪用されていることを確認した。
今週初め、VulnCheckのセキュリティ研究者は、ユーザーが指定するDNS設定パラメータの不適切なサニタイズに起因するコマンドインジェクション脆弱性を発見したと発表した。このバグはCVE-2026-0625として追跡され、深刻度スコアは9.3/10(クリティカル)となっている。
これにより、認証なしの脅威アクターが任意のシェルコマンドを遠隔から注入・実行でき、さまざまな攻撃の可能性が開かれる。
旧式機器の置き換え
「影響を受けるエンドポイントは、D-Linkが文書化している認証なしのDNS変更(『DNSChanger』)の挙動とも関連しており、D-Linkは2016年から2019年にかけて、DSL-2740R、DSL-2640B、DSL-2780B、DSL-526Bモデルのファームウェア亜種を標的とした活発な悪用キャンペーンを報告している」と、VulnCheckは勧告の中で述べた。
また、ShadowServer Foundationが、2025年11月27日にさかのぼる攻撃の証拠を見つけたとも述べている。
この発見を受けてD-Linkは、問題を調査中だとし、製品世代をまたいでファームウェアが実装されているため、影響を受けるモデルをすべて特定するのは難しいと付け加えた。影響を受けるモデルの完全な一覧を近く公開するとしている。
「現時点の分析では、ファームウェアを直接検査する以外に、信頼できるモデル番号の検出方法はありません」とD-Linkは述べた。「このため、D-Linkは調査の一環として、旧式およびサポート対象プラットフォーム全体でファームウェアビルドを検証しています。」
現時点では、攻撃者や潜在的な被害者に関する情報はない。セキュリティ研究者は、サポート終了機器を新しいモデルに置き換え、最新のパッチで更新し続けること、そして可能な限りファイアウォール、パスワード、多要素認証(MFA)で環境を防御することをユーザーに強く勧めている。
SMB環境では、RCEに脆弱なゲートウェイルーターにより、攻撃者はネットワークの入口を完全に掌握できる。通信の傍受やリダイレクト、認証情報の窃取、マルウェアの展開、内部通信の盗聴が可能になる。ルーターを足がかりに、脅威アクターは内部システムへ侵入し、脆弱なサーバーやエンドポイントをスキャンし、ランサムウェアを実行したり、永続的なバックドアを作成したりできる。
こうしたルーターは、ボットネットのノード、プロキシ、C2インフラとして使われることもある。
