CVE-2026-0625: krytyczna luka RCE w starych bramkach D-Link DSL jest aktywnie wykorzystywana

Wprowadzenie do problemu / definicja luki

Na przełomie końcówki 2025 i początku 2026 pojawiły się potwierdzone sygnały aktywnej eksploatacji krytycznej podatności typu OS Command Injection, która umożliwia zdalne wykonanie poleceń na wybranych, wycofanych z produkcji bramkach D-Link DSL. Podatność otrzymała identyfikator CVE-2026-0625 i dotyczy webowego komponentu konfiguracji DNS (dnscfg.cgi).

Najgorsza część? Mówimy o urządzeniach EOL/EOS (End of Life / End of Support), które nie dostaną poprawek — producent zaleca ich wycofanie i wymianę.

W skrócie

• Co? Zdalne wykonanie poleceń (RCE) przez wstrzyknięcie komend w mechanizm konfiguracji DNS (dnscfg.cgi).
• Kogo dotyczy? Potwierdzone modele i wersje firmware:
  • DSL-526B ≤ 2.01
  • DSL-2640B ≤ 1.07
  • DSL-2740R < 1.17
  • DSL-2780B ≤ 1.01.14
• Jak poważne? CVSS v4.0: 9.3 (Critical), wektor wskazuje atak sieciowy bez uwierzytelnienia i bez interakcji użytkownika.
• Czy jest patch? D-Link wskazuje, iż to legacy DSL-e bez wsparcia; zalecenie to retire & replace.
• Czy to jest w użyciu „w dziczy”? Tak — obserwacje exploitacji były widziane m.in. 27 listopada 2025 (UTC) wg informacji przypisywanych do danych Shadowserver.

Kontekst / historia / powiązania

Z punktu widzenia obrony warto zauważyć, iż podatny endpoint (dnscfg.cgi) jest kojarzony z klasą nadużyć określaną jako DNSChanger: nieautoryzowana zmiana ustawień DNS w routerze w celu przechwytywania, przekierowywania lub blokowania ruchu użytkowników. D-Link w przeszłości dokumentował kampanie dotykające wariantów firmware tych modeli w latach 2016–2019.

Nowość w CVE-2026-0625 polega na tym, iż nie chodzi wyłącznie o „podmianę DNS”, ale o pełnoprawne RCE poprzez wstrzyknięcie komend w ścieżce obsługi konfiguracji DNS, co otwiera drogę do trwałej kompromitacji urządzenia i dalszych działań w sieci.

Warto też odnotować oś czasu:

• 2025-11-27 (UTC): zaobserwowane ślady eksploatacji (telemetria/honeypoty).
• 2026-01-05: publikacja advisory przez VulnCheck (CNA dla CVE).
• 2026-01-06: komunikat D-Link (SAP10488) o trwającym dochodzeniu i zaleceniu wymiany urządzeń.

Analiza techniczna / szczegóły luki

Gdzie jest problem?

Podatność dotyczy endpointu webowego dnscfg.cgi, który obsługuje parametry związane z konfiguracją DNS. Wg opisu VulnCheck i NVD, wejście użytkownika (parametry konfiguracji DNS) nie jest poprawnie sanityzowane, co umożliwia wstrzyknięcie elementów powłoki i uruchomienie dowolnych komend systemowych.

Co umożliwia atakującemu?

• Brak uwierzytelnienia: scenariusz ataku zakłada, iż zdalny napastnik może wywołać podatną funkcję bez loginu.
• RCE: wykonanie dowolnych poleceń shell na urządzeniu, a więc praktycznie pełna kontrola w granicach uprawnień procesu/środowiska systemu routera.

Dlaczego „aktywnie wykorzystywana”, skoro zwykle panel jest tylko z LAN?

BleepingComputer zwraca uwagę, iż wiele domowych konfiguracji ogranicza CGI panelu administracyjnego do LAN, więc realna eksploatacja może zachodzić m.in. wtedy, gdy:

• włączono zdalne zarządzanie (remote administration) od strony WAN,
• urządzenie jest wystawione przez błędną konfigurację/NAT/port forwarding,
• albo atak ma charakter „przeglądarkowy” (np. ofiara w LAN odwiedza złośliwą stronę, która próbuje sięgnąć do panelu routera – sam mechanizm bywa utrudniony przez różne kontrolki przeglądarek, ale koncepcyjnie jest to rozważany wektor).

Praktyczne konsekwencje / ryzyko

Jeśli atakujący uzyska RCE na bramce DSL, konsekwencje rzadko kończą się na „jednym urządzeniu”:

1. Cicha manipulacja DNS
   Przekierowanie użytkowników na fałszywe strony logowania, podmiana aktualizacji, wstrzykiwanie reklam/malware — i to dla każdego hosta za routerem.
2. Trwała kompromitacja i nadużycia infrastrukturalne
   Router może stać się elementem botnetu, węzłem proxy, punktem przechwytywania/routingu ruchu lub przyczółkiem do ruchu bocznego (lateral movement).
3. Brak łatwej ścieżki naprawy
   D-Link podkreśla, iż potwierdzone ustalenia dotyczą produktów legacy bez bieżącego wsparcia, a zaleceniem jest ich wycofanie. To oznacza, iż „patch management” nie rozwiąże problemu — zostają działania kompensacyjne i wymiana.

Rekomendacje operacyjne / co zrobić teraz

Poniżej plan działań w kolejności, która zwykle minimalizuje ryzyko najszybciej.

1) Szybka identyfikacja ekspozycji

• Sprawdź w inwentaryzacji, czy masz: DSL-526B, DSL-2640B, DSL-2740R, DSL-2780B i porównaj wersje firmware z listą „Affecting” VulnCheck / potwierdzoną przez D-Link.
• Zmapuj, czy web panel/router management jest osiągalny z Internetu (skan z zewnątrz, reguły NAT, przekierowania portów).

2) Natychmiastowe ograniczenie powierzchni ataku (kompensacje)

Jeśli wymiana nie jest „na już”, to minimum:

• Wyłącz remote administration od strony WAN.
• Zablokuj dostęp do panelu zarządzania na firewallu od strony Internetu (ACL tylko z sieci administracyjnych/VPN).
• Jeśli urządzenie musi działać: segmentacja (oddzielny VLAN), restrykcyjne reguły egress, monitoring DNS i ruchu wychodzącego.

3) Wymiana urządzeń (zalecenie docelowe)

D-Link wprost rekomenduje wycofanie legacy urządzeń i zastąpienie modelami wspieranymi. Dla środowisk produkcyjnych to najrozsądniejsza decyzja koszt/ryzyko.

4) Kontrola po incydencie (jeśli podejrzewasz kompromitację)

• Sprawdź, czy DNS na routerze nie wskazuje na nieznane resolvery.
• Wymuś zmianę haseł administracyjnych (oraz haseł Wi-Fi), rozważ factory reset (z ostrożnością: przywrócenie tej samej konfiguracji może odtworzyć problem ekspozycji).
• Przejrzyj logi (o ile dostępne) pod kątem nietypowych żądań HTTP do dnscfg.cgi oraz anomalii w ruchu wychodzącym.
• Jeśli router był bramą dla firmy: potraktuj to jako potencjalny „initial access” i wykonaj przegląd hostów wewnętrznych.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

DNS hijack / DNSChanger vs RCE przez dnscfg.cgi

• DNS hijack (zmiana DNS) bywa „wystarczająca” do masowych nadużyć (phishing, malvertising).
• RCE eskaluje sytuację: umożliwia doinstalowanie komponentów, modyfikację konfiguracji na poziomie systemu, utrzymanie dostępu i użycie urządzenia jako infrastruktury ataku. Opisy NVD i VulnCheck łączą oba światy: ten sam obszar funkcjonalny (DNS config), ale konsekwencje są znacznie szersze.

EOL jako czynnik ryzyka
W odróżnieniu od wielu współczesnych incydentów, tutaj najważniejszy problem jest organizacyjny: choćby idealny SOC nie „załata” sprzętu, który nie dostaje aktualizacji. To klasyczny przykład, dlaczego polityka lifecycle (wymiana EOL) jest kontrolką bezpieczeństwa, a nie tylko „tematem zakupowym”.

Podsumowanie / najważniejsze wnioski

• CVE-2026-0625 to krytyczne unauthenticated RCE w legacy bramkach D-Link DSL, realizowane przez command injection w dnscfg.cgi.
• Są przesłanki aktywnej eksploatacji co najmniej od końcówki listopada 2025 (UTC).
• Potwierdzone podatne modele to m.in. DSL-526B, DSL-2640B, DSL-2740R, DSL-2780B w określonych zakresach firmware.
• Ponieważ urządzenia są EOL/EOS, kluczową rekomendacją jest wymiana; do tego czasu — twarde ograniczenie ekspozycji panelu (zwłaszcza od WAN) i segmentacja.

Źródła / bibliografia

• BleepingComputer: „New D-Link flaw in legacy DSL routers actively exploited in attacks” (2026-01-06). (BleepingComputer)
• D-Link Security Announcement SAP10488 (2026-01-06). (supportannouncement.us.dlink.com)
• VulnCheck Advisory: „D-Link DSL Command Injection via DNS Configuration Endpoint” (2026-01-05). (VulnCheck)
• NIST NVD: CVE-2026-0625 record (published 2026-01-05). (nvd.nist.gov)
• SecurityWeek: „Hackers Exploit Zero-Day in Discontinued D-Link Devices” (2026-01-07). (SecurityWeek)