针对D-Link路由器严重远程代码执行漏洞的持续攻击活动

一个新发现的D-Link DSL网关路由器严重安全漏洞正在遭受野外积极利用。

该漏洞被追踪为CVE-2026-0625（CVSS评分：9.3），涉及"dnscfg.cgi"端点中的命令注入问题，由于对用户提供的DNS配置参数缺乏适当的清理而产生。

VulnCheck在一份咨询报告中指出："未经身份验证的远程攻击者可以注入并执行任意shell命令，导致远程代码执行。"

"受影响的端点还与未经身份验证的DNS修改（'DNSChanger'）行为相关联，D-Link已记录该行为，报告称从2016年到2019年期间，针对DSL-2740R、DSL-2640B、DSL-2780B和DSL-526B型号固件变体的积极利用活动一直在进行。"

该网络安全公司还指出，Shadowserver基金会在2025年11月27日记录了针对CVE-2026-0625的利用尝试。部分受影响设备已于2020年初达到生命周期终止（EoL）状态：

DSL-2640B版本1.07及以下

DSL-2740R版本1.17以下

DSL-2780B版本1.01.14及以下

DSL-526B版本2.01及以下

D-Link在自己的警报中表示，在2025年12月16日收到VulnCheck关于"dnscfg.cgi"正在遭受积极利用的报告后，启动了内部调查，并正在努力识别其所有产品中CGI库的历史和当前使用情况。

该公司还提到，由于固件实现和产品代际的差异，准确确定受影响型号存在复杂性。预计在固件级别审查完成后，本周晚些时候将发布具体型号的更新列表。

D-Link表示："目前的分析显示，除了直接的固件检查外，没有可靠的型号检测方法。因此，D-Link正在作为调查一部分验证传统平台和支持平台的固件版本。"

现阶段，利用该漏洞的威胁行为者身份以及此类活动的规模尚不清楚。考虑到该漏洞影响已被淘汰的DSL网关产品，设备所有者应该淘汰这些设备并升级到能够接收定期固件和安全更新的主动支持设备。

Field Effect表示："CVE-2026-0625暴露了与过去大规模DNS劫持活动中使用的相同DNS配置机制。该漏洞通过dnscfg.cgi端点实现未经身份验证的远程代码执行，使攻击者无需凭证或用户交互即可直接控制DNS设置。"

"一旦被更改，DNS条目可以悄无声息地重定向、拦截或阻止下游流量，导致影响路由器后每台设备的持续性妥协。由于受影响的D-Link DSL型号已停止生命周期且无法修补，继续使用这些设备的组织面临着较高的运营风险。"

Q&A

Q1：CVE-2026-0625漏洞有多严重？

A：CVE-2026-0625是一个非常严重的安全漏洞，CVSS评分高达9.3分。该漏洞允许未经身份验证的远程攻击者通过"dnscfg.cgi"端点注入并执行任意shell命令，实现远程代码执行，攻击者无需凭证或用户交互即可直接控制DNS设置。

Q2：哪些D-Link路由器型号受到这个漏洞影响？

A：受影响的主要型号包括DSL-2640B（1.07及以下版本）、DSL-2740R（1.17以下版本）、DSL-2780B（1.01.14及以下版本）和DSL-526B（2.01及以下版本）。这些设备大多已于2020年初达到生命周期终止状态。

Q3：如何防护CVE-2026-0625漏洞攻击？

A：由于受影响的D-Link DSL型号已停止生命周期且无法修补，最有效的防护措施是立即淘汰这些设备，升级到能够接收定期固件和安全更新的主动支持设备。继续使用这些设备会面临持续的安全风险。