Tấn công nhằm khai thác lỗ hổng RCE trong các bộ định tuyến DSL D-Link đời cũ

[T-800]

Một lỗ hổng bảo mật nghiêm trọng mới được phát hiện trong các bộ định tuyến cổng DSL D-Link đời cũ đang bị khai thác tích cực trên thực tế.

Lỗ hổng này, được theo dõi với mã CVE-2026-0625 (điểm CVSS: 9.3), liên quan đến trường hợp tấn công chèn lệnh vào điểm cuối "dnscfg.cgi" phát sinh do việc xử lý không đúng cách các tham số cấu hình DNS do người dùng cung cấp.

"Kẻ tấn công từ xa không cần xác thực có thể chèn và thực thi các lệnh shell tùy ý, dẫn đến việc thực thi mã từ xa," VulnCheck lưu ý trong một thông báo.

"Điểm cuối bị ảnh hưởng cũng liên quan đến hành vi sửa đổi DNS không được xác thực ('DNSChanger') được D-Link ghi nhận, hãng này đã báo cáo các chiến dịch khai thác đang hoạt động nhắm mục tiêu vào các biến thể phần mềm của các mẫu DSL-2740R, DSL-2640B, DSL-2780B và DSL-526B từ năm 2016 đến năm 2019."

Công ty an ninh mạng này cũng lưu ý rằng các nỗ lực khai thác nhắm vào lỗ hổng CVE-2026-0625 đã được Shadowserver Foundation ghi nhận vào ngày 27 tháng 11 năm 2025. Một số thiết bị bị ảnh hưởng đã hết hạn sử dụng (EoL) tính đến đầu năm 2020.

    DSL-2640B <= 1.07
    DSL-2740R < 1.17
    DSL-2780B <= 1.01.14
    DSL-526B <= 2.01

Trong một thông báo riêng, D-Link cho biết họ đã khởi xướng một cuộc điều tra nội bộ sau báo cáo từ VulnCheck vào ngày 16 tháng 12 năm 2025 về việc khai thác tích cực lỗ hổng "dnscfg.cgi", và họ đang nỗ lực xác định việc sử dụng thư viện CGI trong quá khứ và hiện tại trên tất cả các sản phẩm của mình.

Báo cáo cũng nêu rõ những phức tạp trong việc xác định chính xác các mẫu máy bị ảnh hưởng do sự khác biệt trong việc triển khai phần mềm nhúng và các thế hệ sản phẩm. Danh sách cập nhật các mẫu máy cụ thể dự kiến sẽ được công bố vào cuối tuần này sau khi quá trình xem xét ở cấp độ phần mềm nhúng hoàn tất.

"Phân tích hiện tại cho thấy không có phương pháp phát hiện số hiệu model nào đáng tin cậy ngoài việc kiểm tra trực tiếp phần mềm," D-Link cho biết. "Vì lý do này, D-Link đang xác thực các bản dựng phần mềm trên các nền tảng cũ và được hỗ trợ như một phần của cuộc điều tra."

Ở giai đoạn này, danh tính của các tác nhân đe dọa lợi dụng lỗ hổng và quy mô của những nỗ lực này vẫn chưa được biết. Do lỗ hổng này ảnh hưởng đến các sản phẩm thiết bị cổng DSL đã ngừng sản xuất, điều quan trọng là người dùng thiết bị cần loại bỏ chúng và nâng cấp lên các thiết bị được hỗ trợ thường xuyên, nhận được các bản cập nhật phần mềm và bảo mật định kỳ.

"Lỗ hổng CVE-2026-0625 khai thác cùng một cơ chế cấu hình DNS đã được sử dụng trong các chiến dịch chiếm quyền điều khiển DNS quy mô lớn trước đây," Field Effect cho biết. "Lỗ hổng này cho phép thực thi mã từ xa mà không cần xác thực thông qua điểm cuối dnscfg.cgi, giúp kẻ tấn công kiểm soát trực tiếp các cài đặt DNS mà không cần thông tin đăng nhập hoặc tương tác của người dùng."

"Sau khi bị thay đổi, các bản ghi DNS có thể âm thầm chuyển hướng, chặn hoặc ngăn chặn lưu lượng truy cập xuống, dẫn đến tình trạng xâm phạm kéo dài ảnh hưởng đến mọi thiết bị phía sau bộ định tuyến. Vì các mẫu D-Link DSL bị ảnh hưởng đã hết hạn sử dụng và không thể vá lỗi, các tổ chức tiếp tục vận hành chúng phải đối mặt với rủi ro vận hành cao."