Эксперты по кибербезопасности подтвердили наличие активно эксплуатируемой критической уязвимости в микропрограммном обеспечении нескольких устаревших моделей маршрутизаторов D-Link. Соответственно, уязвимость, зарегистрированная в Банке данных угроз (BDU) под идентификатором BDU:2026-00124 и получившая идентификатор CVE-2026-0625, затрагивает устройства серий DSL-2740R, DSL-2640B, DSL-2780B и DSL-526B. Прежде всего, она позволяет удаленному злоумышленнику без аутентификации полностью перехватить управление устройством и изменить настройки DNS.
Детали уязвимости
Уязвимость относится к классу инъекций команд операционной системы. Конкретно, ошибка в веб-интерфейсе управления маршрутизаторами заключается в "непринятии мер по нейтрализации специальных элементов". Проще говоря, злоумышленник может отправить специально сформированный запрос, который интерпретируется устройством как команда для его операционной системы. Как следствие, это позволяет выполнять произвольные команды с максимальными привилегиями.
Уровень опасности этой уязвимости оценивается как критический по всем основным версиям системы оценки CVSS. Например, базовая оценка по CVSS 3.1 достигает 9.8 баллов из 10. Такой высокий балл обусловлен тем, что для атаки не требуется ни пароль, ни физический доступ к устройству, а потенциальный ущерб максимален. Угроза актуальна, поскольку, согласно данным производителя, эксплойт уже существует в открытом доступе, а значит, ей могут воспользоваться даже начинающие хакеры.
Если злоумышленник успешно воспользуется этой уязвимостью, он сможет изменить настройки DNS на маршрутизаторе. В результате весь интернет-трафик пользователей, подключенных к такому марщрутизатору, может перенаправляться через контролируемые злоумышленником серверы. Это открывает возможности для масштабных атак. Например, пользователей можно незаметно перенаправлять на фишинговые сайты, которые имитируют банки или социальные сети, с целью кражи учетных данных. Кроме того, возможна подмена контента или скрытый майнинг криптовалюты.
Список уязвимых устройств и версий прошивок четко определен. В частности, под удар попадают модели DSL-526B с прошивкой версии 2.01 и ниже, DSL-2640B до версии 1.07 включительно, DSL-2740R до версии 1.15 и DSL-2780B до версии 1.01.14. Важно отметить, что эти модели являются устаревшими и, вероятно, больше не поддерживаются производителем на регулярной основе. На данный момент официальный способ устранения уязвимости, такой как выпуск обновления прошивки, не анонсирован. Статус уязвимости на текущий момент отмечен как "подтверждена производителем".
В связи с отсутствием заплатки, специалисты рекомендуют владельцам затронутых устройств немедленно принять компенсирующие меры. Самым радикальным, но самым надежным решением является замена маршрутизатора на современную поддерживаемую модель. Если замена в ближайшее время невозможна, необходимо строго ограничить доступ к веб-интерфейсу управления устройством. Идеально полностью отключить доступ к панели управления из внешней сети. Одновременно следует настроить внутренние правила на самом маршрутизаторе или основном межсетевом экране, разрешив доступ к веб-интерфейсу только с доверенных IP-адресов.
Дополнительной мерой безопасности может стать мониторинг сетевой активности. В частности, использование SIEM-систем или даже простой анализ логов может помочь выявить несанкционированные попытки изменения сетевых настроек, включая конфигурацию DNS. Для организации безопасного удаленного доступа к домашней или офисной сети настоятельно рекомендуется использовать VPN, вместо того чтобы открывать порты управления маршрутизатором напрямую в интернет.
Обнаружение этой уязвимости подчеркивает общую проблему безопасности интернета вещей (IoT). Зачастую сетевые устройства, такие как маршрутизаторы, камеры или умные домашние панели, работают годами без обновлений и становятся легкой мишенью для злоумышленников. Поэтому регулярное обновление прошивки и своевременный вывод из эксплуатации устаревшего оборудования являются критически важными практиками для поддержания кибербезопасности как домашних, так и корпоративных сетей.
Ссылки
- https://bdu.fstec.ru/vul/2026-00124
- https://www.cve.org/CVERecord?id=CVE-2026-0625
- https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10488
- https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10068
- https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10118
- https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint
- https://thehackernews.com/2026/01/active-exploitation-hits-legacy-d-link.html
