В настоящее время зафиксирована активная эксплуатация критической уязвимости безопасности в устаревших шлюзовых DSL-маршрутизаторах компании D-Link. Данной уязвимости, представляющей собой возможность удаленного выполнения кода (RCE) через внедрение команд, присвоен идентификатор CVE-2026-0625. Уровень риска оценивается как критический, что подтверждается чрезвычайно высоким баллом по шкале CVSS — 9.3. Проблема затрагивает устройства, которые находятся в статусе End-of-Life (EoL), то есть их поддержка и выпуск обновлений официально прекращены.
Техническая суть проблемы кроется в компоненте
Специалисты The Shadowserver Foundation зафиксировали попытки эксплуатации данной уязвимости в реальных условиях 27 ноября 2025 года. Несмотря на то, что многие затронутые устройства достигли статуса окончания эксплуатации еще в начале 2020 года, они продолжают использоваться и остаются уязвимыми. Ранее варианты прошивок для этих моделей уже становились мишенями для активных кампаний по эксплуатации в период с 2016 по 2019 год, что указывает на давний интерес злоумышленников к данному оборудованию.
Список конкретных моделей и версий прошивок, подверженных риску, включает DSL-2640B с прошивкой версии 1.07 и ниже, а также DSL-2740R с версией ниже 1.17. Также в зоне риска находится модель DSL-2780B с прошивкой 1.01.14 и ниже. Уязвимость распространяется и на устройство DSL-526B с прошивкой версии 2.cgi и ниже. Поскольку данные продукты являются устаревшими, выпуск исправлений безопасности для них не предусмотрен, что делает эксплуатацию уязвимости необратимой без замены оборудования.
Последствия успешной атаки могут быть катастрофическими для безопасности сети. Злоумышленники получают возможность прямого контроля над настройками DNS без ввода учетных данных, что характерно для поведения типа «DNSChanger». Это позволяет перенаправлять, перехватывать или блокировать нисходящий трафик, обеспечивая скрытое перенаправление пользователей на вредоносные ресурсы. Компрометация носит устойчивый характер и ставит под угрозу все устройства, подключенные к скомпрометированному маршрутизатору.
Компания D-Link в настоящее время проводит расследование, пытаясь определить историческое и текущее использование библиотеки CGI во всех своих продуктах. Процесс осложняется тем, что не существует надежного метода обнаружения номеров моделей без прямой проверки прошивки, а вариации в реализации микропрограммного обеспечения и поколениях продуктов создают дополнительные трудности. Обновленный список затронутых моделей ожидается позже на этой неделе после завершения проверки сборок.
Информацию об уязвимости распространила компания по кибербезопасности VulnCheck, а комментарии по ситуации предоставили эксперты Field Effect. На данный момент конкретные личности злоумышленников и масштаб их усилий остаются неизвестными. Единственной действенной рекомендацией для владельцев указанного оборудования является немедленный вывод устаревших устройств из эксплуатации и переход на активно поддерживаемые модели, получающие регулярные обновления прошивки и безопасности.
Изображение носит иллюстративный характер
Техническая суть проблемы кроется в компоненте
dnscfg.cgi. Коренной причиной уязвимости является ненадлежащая очистка (санитизация) параметров конфигурации DNS, передаваемых пользователем. Это создает вектор атаки, при котором удаленные злоумышленники могут внедрять и выполнять произвольные команды оболочки без необходимости проходить аутентификацию или взаимодействовать с пользователем. Такое поведение системы классифицируется как внедрение команд, что делает устройство полностью подконтрольным атакующему. Специалисты The Shadowserver Foundation зафиксировали попытки эксплуатации данной уязвимости в реальных условиях 27 ноября 2025 года. Несмотря на то, что многие затронутые устройства достигли статуса окончания эксплуатации еще в начале 2020 года, они продолжают использоваться и остаются уязвимыми. Ранее варианты прошивок для этих моделей уже становились мишенями для активных кампаний по эксплуатации в период с 2016 по 2019 год, что указывает на давний интерес злоумышленников к данному оборудованию.
Список конкретных моделей и версий прошивок, подверженных риску, включает DSL-2640B с прошивкой версии 1.07 и ниже, а также DSL-2740R с версией ниже 1.17. Также в зоне риска находится модель DSL-2780B с прошивкой 1.01.14 и ниже. Уязвимость распространяется и на устройство DSL-526B с прошивкой версии 2.cgi и ниже. Поскольку данные продукты являются устаревшими, выпуск исправлений безопасности для них не предусмотрен, что делает эксплуатацию уязвимости необратимой без замены оборудования.
Последствия успешной атаки могут быть катастрофическими для безопасности сети. Злоумышленники получают возможность прямого контроля над настройками DNS без ввода учетных данных, что характерно для поведения типа «DNSChanger». Это позволяет перенаправлять, перехватывать или блокировать нисходящий трафик, обеспечивая скрытое перенаправление пользователей на вредоносные ресурсы. Компрометация носит устойчивый характер и ставит под угрозу все устройства, подключенные к скомпрометированному маршрутизатору.
Компания D-Link в настоящее время проводит расследование, пытаясь определить историческое и текущее использование библиотеки CGI во всех своих продуктах. Процесс осложняется тем, что не существует надежного метода обнаружения номеров моделей без прямой проверки прошивки, а вариации в реализации микропрограммного обеспечения и поколениях продуктов создают дополнительные трудности. Обновленный список затронутых моделей ожидается позже на этой неделе после завершения проверки сборок.
Информацию об уязвимости распространила компания по кибербезопасности VulnCheck, а комментарии по ситуации предоставили эксперты Field Effect. На данный момент конкретные личности злоумышленников и масштаб их усилий остаются неизвестными. Единственной действенной рекомендацией для владельцев указанного оборудования является немедленный вывод устаревших устройств из эксплуатации и переход на активно поддерживаемые модели, получающие регулярные обновления прошивки и безопасности.
