Se ha explotado activamente una vulnerabilidad de seguridad crítica recientemente descubierta en enrutadores de puerta de enlace D-Link DSL más antiguos.
La vulnerabilidad, rastreada como CVE-2026-0625 (Puntuación CVSS: 9,3) se refiere a un caso de inyección de comando en el punto final dnscfg.cgi como resultado de una desinfección inadecuada de los parámetros de configuración DNS proporcionados por el usuario.
“Un atacante remoto no autenticado puede inyectar y ejecutar comandos de shell arbitrarios, lo que resulta en la ejecución remota de código”, señaló VulnCheck en un aviso.
“El punto final afectado también está relacionado con el comportamiento de cambio de DNS no autenticado (“DNSChanger”) documentado por D-Link. D-Link informó sobre campañas de explotación activas dirigidas a las variantes de firmware DSL-2740R, DSL-2640B, DSL-2780B y DSL-526B de 2016 a 2019″.
La empresa de ciberseguridad también señaló que la Fundación Shadowserver registró intentos de explotación contra CVE-2026-0625 el 27 de noviembre de 2025. Algunos de los dispositivos afectados alcanzaron el estado de fin de vida útil (EoL) a principios de 2020.
- DSL-2640B <= 1,07
- DSL-2740R < 1,17
- DSL-2780B <= 1.01.14
- DSL-526B <= 2,01
En su propia alerta, D-Link inició una investigación interna sobre la explotación activa de “dnscfg.cgi” luego de un informe del 16 de diciembre de 2025 de VulnCheck, que indica que la compañía está trabajando para determinar el uso histórico y actual de la biblioteca CGI en todas sus ofertas de productos.
También se citaron dificultades para identificar con precisión los modelos afectados debido a variaciones en las implementaciones de firmware y generaciones de productos. Se espera que se publique una lista actualizada de modelos específicos a finales de esta semana una vez que se complete una revisión a nivel de firmware.
“El análisis actual no muestra ningún método confiable para detectar el número de modelo más allá de la inspección directa del firmware”, dijo D-Link. “Por esta razón, D-Link está validando versiones de firmware en plataformas más antiguas y compatibles como parte de la investigación”.
En este momento, se desconoce la identidad de los actores de amenazas que explotan la vulnerabilidad y el alcance de estos esfuerzos. Debido a que la vulnerabilidad afecta a los productos de puerta de enlace DSL que han sido retirados, es importante que los propietarios de dispositivos los retiren y cambien a dispositivos con soporte activo que reciban actualizaciones periódicas de firmware y seguridad.
“CVE-2026-0625 expone el mismo mecanismo de configuración de DNS utilizado en campañas anteriores de secuestro de DNS a gran escala”, dijo Field Effect. “La vulnerabilidad permite la ejecución remota de código no autenticado a través del punto final dnscfg.cgi, lo que permite a los atacantes controlar directamente la configuración de DNS sin credenciales ni interacción del usuario”.
“Una vez que se modifican los registros DNS, pueden redirigir, interceptar o bloquear silenciosamente el tráfico descendente, lo que resulta en un compromiso permanente de todos los dispositivos detrás del enrutador. Debido a que los modelos D-Link DSL afectados son obsoletos y ya no se pueden parchear, las organizaciones que continúan operándolos enfrentan un mayor riesgo operativo”.
About The Author
