Een nieuw ontdekt kritiek beveiligingslek in oudere D-Link DSL-gatewayrouters wordt in het wild actief uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2026-0625 (CVSS-score: 9,3), betreft een geval van commando-injectie in het “dnscfg.cgi”-eindpunt dat ontstaat als gevolg van onjuiste opschoning van door de gebruiker opgegeven DNS-configuratieparameters.
“Een niet-geverifieerde externe aanvaller kan willekeurige shell-opdrachten injecteren en uitvoeren, wat resulteert in het uitvoeren van externe code”, aldus VulnCheck in een advies.
“Het getroffen eindpunt wordt ook in verband gebracht met niet-geverifieerd DNS-modificatiegedrag (‘DNSChanger’), gedocumenteerd door D-Link, dat actieve exploitatiecampagnes rapporteerde gericht op firmwarevarianten van de DSL-2740R-, DSL-2640B-, DSL-2780B- en DSL-526B-modellen van 2016 tot 2019.”
Het cyberbeveiligingsbedrijf merkte ook op dat exploitatiepogingen gericht op CVE-2026-0625 op 27 november 2025 werden geregistreerd door de Shadowserver Foundation. Sommige van de getroffen apparaten hebben begin 2020 de end-of-life (EoL)-status bereikt –
- DSL-2640B <= 1,07
- DSL-2740R <1,17
- DSL-2780B <= 1.01.14
- DSL-526B <= 2.01
Als waarschuwing op zichzelf heeft D-Link een intern onderzoek gestart naar aanleiding van een rapport van VulnCheck op 16 december 2025 over de actieve exploitatie van “dnscfg.cgi”, en dat het eraan werkt om het historische en huidige gebruik van de CGI-bibliotheek in al zijn productaanbod te identificeren.
Het noemde ook de complexiteit bij het nauwkeurig bepalen van de betrokken modellen als gevolg van variaties in firmware-implementaties en productgeneraties. Een bijgewerkte lijst met specifieke modellen zal naar verwachting later deze week worden gepubliceerd zodra een beoordeling op firmwareniveau is voltooid.
“De huidige analyse toont geen betrouwbare methode voor het detecteren van modelnummers, afgezien van directe firmware-inspectie”, aldus D-Link. “Om deze reden valideert D-Link als onderdeel van het onderzoek firmware-builds op oudere en ondersteunde platforms.”
In dit stadium zijn de identiteit van de dreigingsactoren die de fout misbruiken en de omvang van dergelijke inspanningen nog niet bekend. Aangezien de kwetsbaarheid gevolgen heeft voor DSL-gatewayproducten die zijn uitgefaseerd, is het belangrijk dat apparaateigenaren deze buiten gebruik stellen en upgraden naar actief ondersteunde apparaten die regelmatig firmware- en beveiligingsupdates ontvangen.
“CVE-2026-0625 legt hetzelfde DNS-configuratiemechanisme bloot dat werd gebruikt bij eerdere grootschalige DNS-kapingcampagnes”, aldus Field Effect. “De kwetsbaarheid maakt niet-geverifieerde uitvoering van externe code mogelijk via het dnscfg.cgi-eindpunt, waardoor aanvallers directe controle krijgen over DNS-instellingen zonder inloggegevens of gebruikersinteractie.”
“Eenmaal gewijzigd kunnen DNS-gegevens het downstream-verkeer stilletjes omleiden, onderscheppen of blokkeren, wat resulteert in een aanhoudend compromis dat elk apparaat achter de router treft. Omdat de getroffen D-Link DSL-modellen het einde van hun levensduur hebben en niet meer te patchen zijn, lopen organisaties die ze blijven gebruiken een verhoogd operationeel risico.”
