紧急预警:D-Link多款已停产DSL路由器遭零日攻击,可远程执行任意命令

admin
admin
admin
0
文章
0
评论
2026-01-30 17:56:58 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: D-Link多款已停产DSL路由器存在高危零日漏洞CVE-2026-0625,允许未经认证的远程命令注入,目前已被大规模主动利用。由于设备已停止支持且无补丁,官方建议立即停用并更换受影响型号。攻击者利用该漏洞可执行任意代码、植入后门或劫持DNS,严重威胁内网边界安全。 综合评分: 91 文章分类: 漏洞分析,漏洞预警,IoT安全,应急响应,漏洞POC

cover_image

紧急预警:D-Link 多款已停产 DSL 路由器遭零日攻击,可远程执行任意命令

云梦DC 云梦DC

云梦安全

2026年1月30日 09:00 河南

一个已经“寿终正寝”的路由器漏洞,正在被黑客当成现成的入口反复利用。

近日,D-Link 官方确认: 多款已停止支持(EoL)的 DSL 网关设备中存在一个严重的命令注入零日漏洞,攻击者已在真实网络环境中进行大规模主动利用

该漏洞被编号为 CVE-2026-0625,CVSS 评分高达 9.3(严重)

一、漏洞已被真实利用,而不是“理论风险”

D-Link 表示:

公司于 2025 年 12 月 16 日 收到安全研究机构 VulnCheck 的通报,确认该漏洞已在生产环境中被观察到存在活跃利用行为

值得警惕的是:

  • 受影响设备 大多在 5 年前甚至更早已停止支持
  • 不再接收任何 固件更新 / 安全补丁
  • 漏洞不存在官方修复方案

换句话说: 这是一个“无法修补,只能更换”的漏洞。

二、漏洞本质:dnscfg.cgi 命令注入

该漏洞存在于路由器的 dnscfg.cgi CGI 接口中。

漏洞成因

  • 该接口用于处理 DNS 服务器配置

  • 程序在执行系统命令前:

  • 未对用户输入进行有效校验

  • 未做命令过滤或转义

漏洞结果

攻击者可构造恶意请求,将系统命令伪装成 DNS 参数提交, 从而在设备上直接执行任意 Shell 命令。

📌 关键点

  • 无需认证
  • 远程可利用
  • 直接获得设备系统级执行能力

三、为什么这个漏洞极其危险?

命令注入类漏洞本身就属于高危,而这次的危险程度还被进一步放大:

  1. 设备位置敏感 DSL 路由器通常位于网络边界,是整个内网的“门口”。
  2. 攻击后果不可控
  • 植入后门
  • 劫持 DNS(DNSChanger)
  • 僵尸网络节点
  • 横向攻击内网其他资产
  1. 目标设备“无人维护” 攻击者非常清楚:

这些设备不会再被修,也不会被及时发现异常。

四、哪些设备可能已中招?

目前 D-Link 和 VulnCheck 均表示:

由于不同型号对 CGI 库的实现方式不同,仅通过特征无法可靠判断受影响型号,只能逐一审计固件。

但 VulnCheck 已观察到攻击行为与以下型号历史高度相关:

  • DSL-2740R
  • DSL-2640B
  • DSL-2780B
  • DSL-526B

(主要集中在 2016–2019 年的固件变体

五、这不是第一次,也不会是最后一次

仅在 2025 年,美国 CISA 就已将 5 个 D-Link 漏洞列入 《已知可被利用漏洞目录(KEV)》。

其中包括:

  • CVE-2020-25079:命令注入(EoL 产品)
  • CVE-2022-40799:操作系统级漏洞
  • CVE-2024-0769:路径遍历漏洞

一个残酷的现实是:

越是停产设备,越容易成为攻击者的“稳定收入来源”。

六、官方建议(说白了就一句)

D-Link 在公告中给出的建议非常直接:

立即停用受影响产品,并更换为仍在支持周期内的型号。

没有补丁。 没有临时缓解措施。 只有“换设备”。

七、技术附录:漏洞利用示例(POC)

⚠️ 以下内容仅用于安全研究与防御验证,请勿用于非法用途。

该漏洞通过向 dnscfg.cgi 注入系统命令实现,示例请求如下:

curl -X POST&nbsp;"http://<target-ip>/cgi-bin/dnscfg.cgi"&nbsp;\
&nbsp; -d&nbsp;"dnsPrimary=8.8.8.8;id;uname -a"&nbsp;\
&nbsp; -d&nbsp;"dnsSecondary=8.8.4.4"

如果设备存在漏洞,注入的命令将随 CGI 调用被系统执行。

攻击者在真实攻击中通常会:

  • 下载并执行恶意脚本
  • 建立反弹 Shell
  • 修改 DNS 配置进行长期劫持

八、写在最后

这次事件再次证明了一点:

漏洞真正危险的,不是技术本身,而是“没人再管”的系统。

如果你的网络中, 还存在 已停产、已停服、已多年未更新的网络设备—— 它们很可能不是“省钱”,而是风险源头

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:云梦安全 云梦DC 云梦DC《紧急预警:D-Link 多款已停产 DSL 路由器遭零日攻击,可远程执行任意命令》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
AnyDesk–APT最喜爱的工具 网络安全文章

AnyDesk–APT最喜爱的工具

文章总结: AnyDesk凭借易用性成为APT维持持久访问的首选工具,常用于勒索软件攻击前潜伏。攻击者通过安装无人值守版本或劫持合法配置隐秘操作。文档重点阐述调
01-301 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0