Ongoing Attacks Exploiting Critical RCE Vulnerability in Legacy D-Link DSL Routers
2026/01/07 TheHackerNews — D-Link の旧型 DSL ゲートウェイ・ルーターにおいて、新たに発見された重大なセキュリティ脆弱性 CVE-2026-0625 (CVSS:9.3) が、すでに実際の攻撃で悪用されていることが確認された。この脆弱性は、”dnscfg.cgi” エンドポイントに存在するコマンド・インジェクションの欠陥に起因する。DNS 設定パラメータに対する入力値のサニタイズが不十分であるため、未認証のリモート攻撃者が任意のシェルコマンドを実行できる状態となっている。
VulnCheck は、「DNS 設定項目に対して細工した入力を送信する攻撃者は、リモートコード実行 (RCE) を達成できる」と指摘している。この挙動は、過去に大規模被害を引き起こした、未認証での DNS 設定変更攻撃 DNSChanger とも関連している。
影響を受ける製品
D-Link と Shadowserver Foundation の情報によると、以下の旧型モデルが影響を受けることが確認されている。これらの一部は、2020年初頭にサポート終了 (EoL)となっている。
- DSL-2640B:≤ 1.07
- DSL-2740R:< 1.17
- DSL-2780B:≤ 1.01.14
- DSL-526B:≤ 2.01
2025年11月27日の時点で Shadowserver は、CVE-2026-0625 を狙う攻撃トラフィックを観測したと報告している。
D-Link の対応状況
2025年12月16日の時点で VulnCheck からの報告を受けた D-Link は、社内調査を開始したと公表している。同社は、過去と現在の製品における CGI ライブラリの使用状況を包括的に確認しているが、ファームウェアや製品世代の違いにより、影響範囲の特定が困難だとしている。
D-Link は、「現時点では、ファームウェアを検査する以外に、モデルに対する信頼できる検出方法が確認できていない。調査が完了した後に、詳細な影響モデル一覧を公開する予定である」と述べている。
想定されるリスク
Field Effect は、「この脆弱性においては、過去の大規模 DNS ハイジャック攻撃と同様のメカニズムが悪用される可能性がある」と警告している。DNS 設定が不正に変更されると、以下のような深刻な影響が生じ得る。
- トラフィックのサイレント・リダイレクト
- 通信内容の傍受/改竄
- 特定のサービスやサイトの遮断
- ルーター配下の全端末への永続的な影響
推奨される対策
影響を受ける D-Link DSL モデルは、すでにサポート終了しているため、セキュリティパッチの提供は行われない。そのため、これらの機器を利用している組織/個人ユーザーに対して強く推奨されるのは、サポート対象の新しいルーターへと、速やかに置き換えることである。
この脆弱性は、認証が不要で高い影響度を持つことから、放置した場合には、ネットワーク全体が完全に奪取されるという現実的なリスクが生じる。
この問題の原因は、ルーターの設定画面 (dnscfg.cgi) において、入力されたデータの安全性を確認する、サニタイズという処理が不十分だったことにあります。本来、DNS などの重要な設定を変更する際には、送られてきたデータに悪意の命令が紛れ込んでいないことを厳しくチェックする必要があります。しかし、今回のケースではその確認が漏れていたことで、特別な入力を送信する攻撃者に対して、ルーターを操作するコマンドの実行を許してしまう状態になっていました。なお、文中にもあるように、この脆弱性が影響を及ぼすのは、すでにサポートが終了している EoL デバイスとのことです。ご利用のチームは、ご注意ください。よろしければ、D-Link での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.