Atores maliciosos estão explorando uma vulnerabilidade de command injection recém-descoberta que afeta diversos roteadores D-Link DSL, cujos modelos estão fora de suporte há anos.
Identificada como
CVE-2026-0625
, a falha incide no endpoint dnscfg.cgi e decorre de uma falha na sanitização de entradas em uma biblioteca CGI.
Essa brecha permite que um atacante não autenticado execute comandos remotamente por meio dos parâmetros de configuração de DNS.
A empresa de inteligência em vulnerabilidades VulnCheck notificou a D-Link sobre o problema em 15 de dezembro, após a Shadowserver Foundation detectar uma tentativa de exploração dessa vulnerabilidade em um de seus honeypots.
Segundo a VulnCheck, a técnica capturada pela Shadowserver não parece ter sido documentada publicamente até o momento.
Conforme o comunicado de segurança, “um atacante remoto não autenticado pode injetar e executar comandos arbitrários no shell, resultando em execução remota de código”.
Em parceria com a VulnCheck, a D-Link confirmou que os seguintes modelos e versões de firmware são afetados pela
CVE-2026-0625
:
- DSL-526B até a versão 2.01
- DSL-2640B até a versão 1.07
- DSL-2740R abaixo da versão 1.17
- DSL-2780B até a versão 1.01.14
Todos esses aparelhos alcançaram o status de end-of-life (EoL) em 2020, o que significa que não receberão atualizações de firmware para corrigir essa vulnerabilidade. Por isso, a fabricante recomenda fortemente a descontinuação e substituição dos dispositivos afetados por modelos que ainda contam com suporte ativo.
A D-Link segue analisando diferentes versões de firmware para identificar se outros produtos também são vulneráveis.
A empresa explica que, devido às variações entre implementações de firmware e gerações dos produtos, “tanto a D-Link quanto a VulnCheck enfrentam dificuldades para identificar exatamente todos os modelos impactados”.
Além disso, “a análise atual não aponta nenhum método confiável para detectar o número do modelo, exceto pela inspeção direta do firmware”.
“Por isso, a D-Link está validando versões de firmware em plataformas legadas e suportadas como parte da investigação”, complementa a fabricante.
Até o momento, não há informações claras sobre quem está explorando essa falha nem quais são os alvos dos ataques.
Entretanto, a VulnCheck destaca que, na maior parte das configurações de roteadores domésticos, os endpoints administrativos CGI, como o dnscfg.cgi, só são acessíveis via rede interna (LAN).
Portanto, explorar a
CVE-2026-0625
exigiria um ataque via navegador ou que o dispositivo esteja configurado para administração remota.
Usuários de roteadores e dispositivos de rede que já atingiram o fim do suporte devem substituí-los por modelos com suporte ativo do fabricante.
Caso optem por manter esses equipamentos legados em uso, recomendam-se ambientes não críticos, preferencialmente segmentados, com o firmware mais recente disponível e configurações de segurança restritivas.
A D-Link alerta que dispositivos EoL não recebem atualizações de firmware, patches de segurança ou qualquer tipo de manutenção, aumentando a exposição a riscos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...