Οι φορείς απειλών εκμεταλλεύονται μια ευπάθεια ένεσης εντολών που ανακαλύφθηκε πρόσφατα και επηρεάζει πολλούς δρομολογητές πύλης D-Link DSL που έληξαν από υποστήριξη πριν από χρόνια.
Η ευπάθεια παρακολουθείται πλέον ως CVE-2026-0625 και επηρεάζει το dnscfg.cgi τελικό σημείο λόγω ακατάλληλης απολύμανσης εισόδου σε μια βιβλιοθήκη CGI. Ένας εισβολέας χωρίς έλεγχο ταυτότητας θα μπορούσε να το χρησιμοποιήσει για να εκτελέσει απομακρυσμένες εντολές μέσω παραμέτρων διαμόρφωσης DNS.
Η εταιρεία πληροφοριών ευπάθειας VulnCheck ανέφερε το πρόβλημα στην D-Link στις 15 Δεκεμβρίου, αφού το Shadowserver Foundation παρατήρησε μια απόπειρα εκμετάλλευσης με έγχυση εντολών σε ένα από τα honeypot του.
Ο VulnCheck είπε στο BleepingComputer ότι η τεχνική που καταγράφηκε από τον Shadowserver δεν φαίνεται να έχει τεκμηριωθεί δημόσια.
“Ένας απομακρυσμένος εισβολέας χωρίς έλεγχο ταυτότητας μπορεί να εισάγει και να εκτελέσει αυθαίρετες εντολές φλοιού, με αποτέλεσμα την απομακρυσμένη εκτέλεση κώδικα”, λέει ο VulnCheck στο συμβουλευτική για την ασφάλεια.
Σε συνεργασία με το VulnCheck, η D-Link επιβεβαίωσε ότι τα ακόλουθα μοντέλα συσκευών και εκδόσεις υλικολογισμικού επηρεάζονται από το CVE-2026-0625:
- DSL-526B ≤ 2,01
- DSL-2640B ≤ 1,07
- DSL-2740R
- DSL-2780B ≤ 1.01.14
Τα παραπάνω έχουν φτάσει στο τέλος του κύκλου ζωής τους (EoL) από το 2020 και δεν θα λαμβάνουν ενημερώσεις υλικολογισμικού για τη διεύθυνση CVE-2026-0625. Ως εκ τούτου, ο πωλητής συνιστά ανεπιφύλακτα την απόσυρση και την αντικατάσταση των επηρεαζόμενων συσκευών με υποστηριζόμενα μοντέλα.
Η D-Link εξακολουθεί να προσπαθεί να προσδιορίσει εάν επηρεάζονται άλλα προϊόντα αναλύοντας διάφορες εκδόσεις υλικολογισμικού.
“Τόσο το D-Link όσο και το VulnCheck αντιμετωπίζουν πολυπλοκότητα στον ακριβή εντοπισμό όλων των επηρεαζόμενων μοντέλων λόγω των παραλλαγών στις εφαρμογές υλικολογισμικού και στις γενιές προϊόντων.” Η D-Link εξηγεί.
“Η τρέχουσα ανάλυση δεν δείχνει αξιόπιστη μέθοδο ανίχνευσης αριθμού μοντέλου πέρα από την άμεση επιθεώρηση υλικολογισμικού. Για αυτόν τον λόγο, η D-Link επικυρώνει τις εκδόσεις υλικολογισμικού σε παλαιού τύπου και υποστηριζόμενες πλατφόρμες ως μέρος της έρευνας”, λέει ο πωλητής.
Επί του παρόντος, δεν είναι σαφές ποιος εκμεταλλεύεται την ευπάθεια και εναντίον ποιων στόχων. Ωστόσο, το VulnCheck λέει ότι οι περισσότερες ρυθμίσεις δρομολογητή καταναλωτών επιτρέπουν μόνο πρόσβαση LAN σε τερματικά σημεία διαχείρισης Common Gateway Interface (CGI), όπως π.χ. dnscfg.cgi.
Η εκμετάλλευση του CVE-2026-0625 θα συνεπαγόταν μια επίθεση που βασίζεται σε πρόγραμμα περιήγησης ή μια συσκευή στόχο που έχει διαμορφωθεί για απομακρυσμένη διαχείριση.
Οι χρήστες δρομολογητών και συσκευών δικτύου στο τέλος του κύκλου ζωής (EoL) θα πρέπει να τα αντικαταστήσουν με μοντέλα που υποστηρίζονται ενεργά από τον προμηθευτή ή να τα αναπτύξουν σε μη κρίσιμα δίκτυα, κατά προτίμηση τμηματοποιημένα, χρησιμοποιώντας την πιο πρόσφατη διαθέσιμη έκδοση υλικολογισμικού και περιοριστικές ρυθμίσεις ασφαλείας.
Η D-Link προειδοποιεί τους χρήστες ότι οι συσκευές EoL δεν λαμβάνουν ενημερώσεις υλικολογισμικού, ενημερώσεις κώδικα ασφαλείας ή οποιαδήποτε συντήρηση.
Είναι περίοδος προϋπολογισμού! Πάνω από 300 CISO και ηγέτες ασφάλειας έχουν μοιραστεί πώς σχεδιάζουν, ξοδεύουν και δίνουν προτεραιότητες για το επόμενο έτος. Αυτή η έκθεση συγκεντρώνει τις γνώσεις τους, επιτρέποντας στους αναγνώστες να αξιολογούν στρατηγικές, να προσδιορίζουν τις αναδυόμενες τάσεις και να συγκρίνουν τις προτεραιότητές τους καθώς πλησιάζουν το 2026.
Μάθετε πώς οι κορυφαίοι ηγέτες μετατρέπουν τις επενδύσεις σε μετρήσιμο αντίκτυπο.
VIA: bleepingcomputer.com
