Exploração ativa: Injeção de comandos em D-Link DSL permite hijacking de DNS e controle remoto

Uma falha crítica de segurança identificada em roteadores DSL da D-Link que já estão fora de suporte está sendo ativamente explorada na internet, colocando em risco redes domésticas e corporativas que ainda utilizam esses equipamentos. A vulnerabilidade, registrada como CVE-2026-0625 e com pontuação CVSS de 9,3, permite a execução remota de código (RCE) sem necessidade de autenticação.

O problema está relacionado a uma injeção de comandos no endpoint dnscfg.cgi, causada pela falta de sanitização adequada de parâmetros de configuração de DNS fornecidos pelo usuário. Na prática, isso permite que um hacker remoto execute comandos arbitrários diretamente no sistema operacional do roteador, assumindo controle total do dispositivo.

Segundo pesquisadores da VulnCheck, o endpoint vulnerável já havia sido associado anteriormente a comportamentos conhecidos como DNSChanger, técnica usada para modificar servidores DNS de forma maliciosa. Campanhas de exploração ativa estariam mirando firmwares dos modelos DSL-2740R, DSL-2640B, DSL-2780B e DSL-526B, lançados entre 2016 e 2019.

Dados da Shadowserver Foundation indicam que tentativas de exploração do CVE-2026-0625 já foram observadas em 27 de novembro de 2025, reforçando que o ataque não é apenas teórico. O risco é ainda maior porque muitos desses dispositivos chegaram ao status de fim de vida (End of Life – EoL) no início de 2020, o que significa que não recebem mais atualizações de firmware ou correções de segurança.

Modelos e versões afetadas

• DSL-2640B ≤ 1.07

• DSL-2740R < 1.17

• DSL-2780B ≤ 1.01.14

• DSL-526B ≤ 2.01

Após notificação formal da VulnCheck em 16 de dezembro de 2025, a D-Link iniciou uma investigação interna para identificar o uso histórico e atual da biblioteca CGI vulnerável em seu portfólio. A fabricante reconheceu a dificuldade em mapear com precisão todos os modelos afetados, devido às variações entre gerações e implementações de firmware.

Até o momento, não há informações confirmadas sobre a identidade dos hackers nem sobre a escala total dos ataques. No entanto, especialistas alertam que a falha permite controle completo das configurações de DNS, possibilitando redirecionamento silencioso de tráfego, interceptação de comunicações, bloqueio de serviços e comprometimento persistente de todos os dispositivos conectados à rede.

Pesquisadores da Field Effect reforçam que, por se tratar de equipamentos inutilizáveis do ponto de vista de segurança, a única mitigação eficaz é a substituição imediata dos roteadores por modelos com suporte ativo, que recebam atualizações regulares.

THN