Una descompostura de seguridad crítica recientemente descubierta en los enrutadores de puerta de enlace D-Link DSL heredados ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-0625 (Puntuación CVSS: 9,3), se refiere a un caso de inyección de comando en el punto final “dnscfg.cgi” que surge como resultado de una desinfección inadecuada de los parámetros de configuración DNS proporcionados por el adjudicatario.
“Un atacante remoto no autenticado puede inyectar y ejecutar comandos de shell arbitrarios, lo que resulta en la ejecución remota de código”, señaló VulnCheck en un aviso.
“El punto final afectado todavía está asociado con el comportamiento de modificación de DNS no autenticado (“DNSChanger”) documentado por D-Link, que informó campañas de explotación activas dirigidas a variantes de firmware de los modelos DSL-2740R, DSL-2640B, DSL-2780B y DSL-526B de 2016 a 2019″.
La compañía de ciberseguridad todavía señaló que los intentos de explotación dirigidos a CVE-2026-0625 fueron registrados por la Fundación Shadowserver el 27 de noviembre de 2025. Algunos de los dispositivos afectados alcanzaron el estado de fin de vida útil (EoL) a principios de 2020.
- DSL-2640B
- DSL-2740R
- DSL-2780B
- DSL-526B
En su propia alerta, D-Link inició una investigación interna luego de un crónica de VulnCheck del 16 de diciembre de 2025 sobre la explotación activa de “dnscfg.cgi” y que está trabajando para identificar el uso histórico y coetáneo de la biblioteca CGI en todas sus ofertas de productos.
Incluso citó complejidades para determinar con precisión los modelos afectados conveniente a variaciones en las implementaciones de firmware y generaciones de productos. Se aplazamiento que se publique una directorio actualizada de modelos específicos a finales de esta semana una vez que se complete una revisión a nivel de firmware.
“El observación coetáneo no muestra ningún método confiable de detección del número de maniquí más allá de la inspección directa del firmware”, dijo D-Link. “Por esta razón, D-Link está validando versiones de firmware en plataformas heredadas y compatibles como parte de la investigación”.
En esta etapa, se desconoce la identidad de los actores de amenazas que explotan la descompostura y la escalera de dichos esfuerzos. Entregado que la vulnerabilidad afecta a los productos de puerta de enlace DSL que se han eliminado gradualmente, es importante que los propietarios de dispositivos los retiren y actualicen a dispositivos con soporte activo que reciban actualizaciones periódicas de firmware y seguridad.
“CVE-2026-0625 expone el mismo mecanismo de configuración de DNS explotado en pasadas campañas de secuestro de DNS a gran escalera”, dijo Field Effect. “La vulnerabilidad permite la ejecución remota de código no autenticado a través del punto final dnscfg.cgi, dando a los atacantes control directo sobre la configuración de DNS sin credenciales ni interacción del adjudicatario”.
“Una vez alteradas, las entradas DNS pueden redirigir, interceptar o sitiar silenciosamente el tráfico descendente, lo que resulta en un compromiso persistente que afecta a todos los dispositivos detrás del enrutador. Correcto a que los modelos D-Link DSL afectados están al final de su vida útil y no se pueden parchear, las organizaciones que continúan operándolos enfrentan un aventura eficaz elevado”.
