旧式のD-Linkハードウェアがさまざまな環境で依然として稼働し続けているようで、攻撃者は今、その持続性を強力な攻撃ベクトルへと変えようとしている。ネットワーク監視者は、最近発見された脆弱性の積極的な悪用を検知しており、これは数年前にサポート終了(EOL)となった複数のD-Link DSLゲートウェイモデルに対して、認証不要のリモートコード実行を可能にする。
この欠陥はCVE-2026-0625として指定され、致命的なCVSSスコア9.3を持つ。DNS設定を管理するWebインターフェースのdnscfg.cgiハンドラ内に存在する。入力データのサニタイズが不十分なため、リモートの攻撃者はDNS設定パラメータを介して任意のシステムコマンドを注入でき、その結果、資格情報を必要とせずに完全なリモートコード実行を達成できる。
VulnCheckは12月15日にこの問題をD-Linkへ通知し、悪用の初期兆候はThe Shadowserver Foundationが世界規模のハニーポットネットワークを通じて捕捉した。VulnCheckによれば、これらのセンサーで観測された具体的な手法は、これまで公開情報として文書化されていなかった。
D-Linkはこの脆弱性を正式に認め、影響を受ける複数のデバイスおよびファームウェアの版を特定した。リストには、DSL-526B(v2.01まで)、DSL-2640B(v1.07まで)、DSL-2740R(v1.17未満)、DSL-2780B(v1.01.14まで)が含まれる。これらのモデルはいずれも2020年以降「End of Life」ステータスであるため、セキュリティパッチは提供されない。したがって、ベンダーはこれらの機器を廃止し、最新のサポート対象ハードウェアへ置き換えることを明確に推奨している。
さらにD-Linkは、旧世代のファームウェアおよびハードウェア世代の多様性が非常に大きいため、影響を受ける可能性のあるモデルをすべて断定的に特定するのは困難だと指摘した。同社は現在、旧来および現行プラットフォームの両方にわたるさまざまなファームウェアビルドを監査し、この脆弱性が他製品にも及ぶかどうかを確認している。
攻撃者の正体や目的は依然として謎に包まれているが、VulnCheckは重要な実務上の制約を強調している。多くの家庭用構成では、dnscfg.cgiのような管理用CGIエンドポイントへのアクセスはローカルエリアネットワークに制限されている。そのため、悪用の成功には通常、リモート管理が有効化されていること、または被害者のブラウザを介して攻撃が実行されることが必要となる。結局のところ、これは古典的なセキュリティのパラドックスを浮き彫りにしている。レガシールーターはしばしば何年も使われ続け、設定はとうに忘れ去られ、脆弱性は永遠にパッチが当たらないまま放置されがちなのだ。
翻訳元: https://meterpreter.org/the-ghost-in-the-router-hackers-exploit-unpatchable-d-link-zero-day-in-2026/
