TokyoBlackHatNews

darkreading.com 4分で読了

攻撃者がサポート終了のD-Linkルーターにおけるゼロデイを悪用

「End of Life」というフレーズがワードクラウドに囲まれている

出典: Shutterstock(Colored Lights)

攻撃者は、複数の販売終了となったD-LinkのDSLゲートウェイ機器に存在するゼロデイ脆弱性を積極的に悪用し、影響を受ける製品上で任意のシェルコマンドを実行している。

攻撃を受けているゲートウェイの大半は、D-Linkが5年以上前に積極的なサポートを停止した製品であり、ファームウェア更新、セキュリティパッチ、保守サポートを一切受けられない。リスクを軽減したい組織は、影響を受ける製品を退役させ、D-Linkが現在サポートしているモデルに置き換える必要があると、同社は今週のアドバイザリで述べた。 

12月中旬以降、活発に悪用?

D-Linkは、この脆弱性(CVE-2026-0625、CVSSスコア: 9.3)について、VulnCheckが2025年12月16日に同社へ通知したことで把握したと述べた。当時、VulnCheckは本番環境において「特定のD-Link機器で侵害されたCGIライブラリの活発な悪用」を観測したと報告していた。

台湾のネットワークベンダーであるD-Linkによれば、同社は直ちに調査を開始し、関連するすべての製品提供にわたって、影響を受けるCGIライブラリの現在および過去の利用状況を追跡している。しかし、最初の発見から3週間以上が経過した現在も、問題の全容は不明のままだ。D-LinkとVulnCheckの双方とも、各製品でのCGIライブラリ実装方法の違いにより、どのDSLゲートウェイ製品が影響を受けるのかを正確に特定できていない。

D-Linkは、旧来プラットフォームと現行プラットフォームの双方で、どの製品が影響を受けるかを確認するため、ファームウェアレベルでの詳細なレビューを実施している。同社は今週後半に、影響を受ける具体的なモデルとファームウェアバージョンの詳細リストを公表すると約束した。「VulnCheckは、実環境での悪用活動を観測した後に本件を報告した。現時点の分析では、ファームウェアを直接検査する以外に信頼できるモデル番号の検出方法はない」と、D-Linkはアドバイザリで述べた。

CVE-2026-0625は、DNSサーバー設定を扱うdnscfg.cgiエンドポイントに存在するコマンドインジェクション脆弱性である。ルーターがDNS設定コマンドを処理する前に、ユーザー入力を適切に検証またはサニタイズできていないことに起因する。この欠陥により、リモート攻撃者は正当なDNS設定を装って悪意あるコマンドを注入し、影響を受ける製品上で任意のコードを実行できる。

「影響を受けるエンドポイントは、D-Linkが文書化している認証不要のDNS改変(『DNSChanger』)の挙動とも関連しており、D-Linkは2016年から2019年にかけて、DSL-2740R、DSL-2640B、DSL-2780B、DSL-526B各モデルのファームウェア亜種を標的とした活発な悪用キャンペーンを報告している」と、VulnCheckはアドバイザリで述べた。

陳腐化した技術がもたらすリスク

コマンドインジェクションの欠陥は、攻撃者が影響を受けるデバイス上で任意のOSコマンドを実行できるようにし、機密データの窃取、他のネットワークリソースへの横展開、永続的なバックドアの設置、あるいはネットワークセキュリティの完全な侵害につながる可能性がある。D-Link機器は通常ネットワーク境界に配置され、インターネット接続を担うため、悪用に成功すれば、より広範なネットワーク侵入の足掛かりを攻撃者に与え得る。

今回の新たな欠陥は、近年D-Link技術を利用する組織が対処を迫られてきた数多くの脆弱性の一つにすぎない。多くの場合、攻撃者は初回開示から何年も経ってから欠陥を狙い、しかも多くのケースでD-Linkが製品のサポートをすでに停止している。 

並行して、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、2025年だけでD-Linkの脆弱性5件を「既知の悪用されている脆弱性」カタログに追加した。その中には、サポート終了(EoL)またはサービス終了(EoS)の製品に影響した2020年のコマンドインジェクション欠陥であるCVE-2020-25079、EoLおよびEoS機器に影響した2022年のOSレベルの欠陥であるCVE-2022-40799、そして販売終了となったD-Link製品にも影響した2024年のパストラバーサル脆弱性であるCVE-2024-0769が含まれる。

組織にとって、これらの欠陥はサポート終了ソフトウェアや機器がもたらす継続的なセキュリティリスクを浮き彫りにしている。多くの組織は、予算制約のため、また時には技術が意図どおりに動作し続けているために、ベンダーサポートが終了した後もレガシーOS、ソフトウェア、デバイスを使い続けている。今回のD-Linkの脆弱性は、陳腐化した製品に固執するという判断が、後になって組織を苦しめ、多額のコストを招き得ることを示している。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/attackers-exploit-zero-day-end-of-life-d-link-routers

ソース: darkreading.com
#CISA既知の悪用脆弱性 #CVE-2026-0625 #D-Link #DNS設定改ざん #EoL(サポート終了)機器 #VulnCheck #コマンドインジェクション #ゼロデイ脆弱性 #ファームウェア更新・パッチ不在 #ルーターセキュリティ

関連記事

Zoom CISO Sandra McLeod:AIはセキュリティの「役割代替者」ではなく「実現者」

FBIが警告したフィッシングキット「Kali365」、標的範囲をさらに拡大

DriveSurge:数千サイトを乗っ取り、ClickFixとFakeUpdate攻撃を展開