D-Link製レガシーDSLルーターに深刻な脆弱性が発覚
D-Link製のDSLゲートウェイルーター複数モデルにおいて、コマンドインジェクションの脆弱性が発見され、現在活発に悪用されていることが報告されました。この脆弱性はCVE-2026-0625として追跡されており、`dnscfg.cgi`エンドポイントにおける不適切な入力検証が原因です。これにより、認証されていない攻撃者がDNS設定パラメータを介してリモートで任意のコマンドを実行できる可能性があります。
脆弱性インテリジェンス企業であるVulnCheckは、Shadowserver Foundationがハニーポットでコマンドインジェクションの悪用を観測した後、12月15日にD-Linkへこの問題を通報しました。VulnCheckによると、Shadowserverが捕捉した悪用手法は、これまで公には文書化されていないとのことです。
影響を受けるモデルとサポート終了(EoL)の現状
D-LinkとVulnCheckの協力により、以下のデバイスモデルとファームウェアバージョンがCVE-2026-0625の影響を受けることが確認されました。
- DSL-526B(バージョン 2.01以下)
- DSL-2640B(バージョン 1.07以下)
- DSL-2740R(バージョン 1.17未満)
- DSL-2780B(バージョン 1.01.14以下)
これらの製品はすべて2020年以降にサポート終了(End-of-Life, EoL)となっており、CVE-2026-0625に対応するファームウェアアップデートは提供されません。そのため、D-Linkは影響を受けるデバイスの廃棄と、サポートされている新しいモデルへの交換を強く推奨しています。
D-Linkは現在、ファームウェア実装の多様性から、他の製品に影響がないか分析を進めています。現時点では、直接的なファームウェア検査以外に正確なモデル番号特定方法がないため、レガシーおよびサポート対象プラットフォームのファームウェアビルドを検証中と説明しています。
悪用の状況とユーザーへの推奨事項
現時点では、誰が、どのようなターゲットに対してこの脆弱性を悪用しているかは不明です。しかし、VulnCheckは、ほとんどのコンシューマールーターの設定では、`dnscfg.cgi`のような管理用CGIエンドポイントへのアクセスは通常LAN内に限定されていると指摘しています。この脆弱性が悪用される場合は、ブラウザベースの攻撃か、リモート管理が有効になっているデバイスが標的となる可能性が高いとされています。
D-Linkおよびセキュリティ専門家は、EoLデバイスのユーザーに対し、以下の対策を講じるよう強く促しています。
- ベンダーが積極的にサポートしている新しいルーターモデルへ交換すること。
- EoLデバイスを引き続き使用する場合は、非重要なネットワークで、可能であればネットワークをセグメント化して配置すること。
- 利用可能な最新のファームウェアバージョンを使用し、制限的なセキュリティ設定を適用すること。
D-Linkは、EoLデバイスにはファームウェアアップデート、セキュリティパッチ、および一切のメンテナンスが提供されないことを改めて警告しています。