Бубен больше не помогает?
Image

Мы вскрываем схемы, пока их прячут

Чат для тех, кто чинит сети головой и руками. Реальный опыт, а не магия.

Ваш роутер D-Link работает уже 10 лет? У нас для вас (и его безопасности) очень плохие новости

D-Link VulnCheck Shadowserver роутер
Ваш роутер D-Link работает уже 10 лет? У нас для вас (и его безопасности) очень плохие новости
D-Link VulnCheck Shadowserver роутер

Новая CVE показывает, почему старый роутер из шкафа опаснее, чем кажется.

image

Похоже, что некоторые старые D-Link до сих пор остаются «в строю» и именно это сейчас пытаются превратить в вектор атаки злоумышленники. В сети зафиксировали попытки эксплуатации свежей уязвимости, которая позволяет удалённо выполнять команды на нескольких моделях DSL шлюзов D-Link, снятых с поддержки много лет назад.

Речь про CVE-2026-0625 (оценка CVSS: 9.3), критическую уязвимость инъекции команд в веб-интерфейсе, в обработчике dnscfg.cgi, который отвечает за настройки DNS. Из-за недостаточной фильтрации входных данных атакующий без аутентификации может подставить системные команды через параметры конфигурации DNS и получить удалённое выполнение кода.

Специалисты VulnCheck уведомили D-Link 15 декабря, а первичные признаки эксплуатации заметили специалисты The Shadowserver Foundation на одном из своих ханипотов. При этом сама техника, которую увидели на датчиках, по словам VulnCheck, ранее публично не описывалась.

D-Link подтвердил затронутые устройства и версии прошивок. В списке DSL-526B с версиями до 2.01 включительно, DSL-2640B до 1.07 включительно, DSL-2740R с версиями ниже 1.17, DSL-2780B до 1.01.14 включительно. Все эти модели имеют статус EoL с 2020 года и исправлений не получат, поэтому вендор прямо рекомендует выводить их из эксплуатации и заменять на поддерживаемые устройства.

При этом D-Link отдельно отмечает, что точно определить весь перечень потенциально уязвимых моделей непросто из-за разнородности прошивок и поколений устройств. Сейчас компания проверяет разные сборки прошивок на старых и поддерживаемых платформах, чтобы понять, есть ли проблема где-то ещё.

Кто именно атакует и какие цели выбирают, пока неясно. VulnCheck обращает внимание на практический нюанс. Во многих домашних конфигурациях доступ к административным CGI точкам вроде dnscfg.cgi ограничен локальной сетью, поэтому реальная эксплуатация часто требует либо включённого удалённого администрирования, либо атаки через браузер жертвы. На практике это снова упирается в типичную для старых роутеров историю: устройство работает годами, настройки забыты, а патчей уже не будет.