Una falla de seguridad crítica recientemente descubierta en los enrutadores de puerta de enlace D-Link DSL heredados está siendo explotada en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-0625 (puntuación CVSS: 9,3), implica un caso de inyección de comando en el punto final ‘dnscfg.cgi’ debido a una desinfección inadecuada de los parámetros de configuración DNS especificados por el usuario.
«Un atacante remoto no autenticado puede inyectar y ejecutar comandos de shell arbitrarios, lo que podría resultar en la ejecución remota de código», dijo VulnCheck en su aviso.
«Los puntos finales afectados también están asociados con un comportamiento de cambio de DNS no autorizado («DNSChanger») documentado por D-Link, que informó una campaña de explotación activa dirigida a variantes de firmware de los modelos DSL-2740R, DSL-2640B, DSL-2780B y DSL-526B de 2016 a 2019″.
La compañía de ciberseguridad también señaló que la Shadow Server Foundation registró un intento de explotación dirigido a CVE-2026-0625 el 27 de noviembre de 2025. Algunos de los dispositivos afectados alcanzaron el estado de fin de vida útil (EoL) a principios de 2020.
DSL-2640B <= 1,07 DSL-2740R < 1,17 DSL-2780B <= 1.01.14 DSL-526B <= 2,01
En su propia alerta, D-Link reveló que inició una investigación interna luego del informe de VulnCheck del 16 de diciembre de 2025 sobre abuso activo de «dnscfg.cgi» y está trabajando para determinar el uso pasado y actual de la biblioteca CGI en todos sus productos.
También señaló que determinar exactamente qué modelos se ven afectados es complicado debido a las diferentes implementaciones de firmware y generaciones de productos. A finales de esta semana se publicará una lista actualizada de modelos específicos una vez que se completen las revisiones del nivel de firmware.
«El análisis actual indica que no existe ningún método confiable para detectar el número de modelo aparte de inspeccionar directamente el firmware», dijo D-Link. «Por esta razón, D-Link está validando compilaciones de firmware en plataformas heredadas y compatibles como parte de nuestra investigación».
En este momento, se desconoce la identidad de los atacantes que explotan esta falla y su escala. Debido a que esta vulnerabilidad afecta a los productos de puerta de enlace DSL que se están eliminando gradualmente, es importante que los propietarios de dispositivos retiren esos productos y actualicen a dispositivos con soporte activo que reciban actualizaciones periódicas de firmware y seguridad.
«CVE-2026-0625 expone los mismos mecanismos de configuración de DNS utilizados en pasadas campañas de secuestro de DNS a gran escala», dijo Field Effect. «Esta vulnerabilidad permite la ejecución remota de código no autenticado a través del punto final dnscfg.cgi, lo que permite a un atacante controlar directamente la configuración de DNS sin credenciales ni interacción del usuario».
«Cualquier cambio en las entradas DNS puede redirigir, interceptar o bloquear silenciosamente el tráfico descendente, lo que resulta en un compromiso persistente que afecta a todos los dispositivos detrás del enrutador. Los modelos D-Link DSL afectados están al final de su vida útil y no pueden parchearse, por lo que las organizaciones que continúan operándolos enfrentan un mayor riesgo operativo».
Source link
