はじめに:D-Link DIR-878ルーターに新たなRCE脆弱性
ネットワーク機器メーカーのD-Linkは、すでにサポート終了(EOL)となっているWi-Fiルーター「DIR-878」の全モデルおよびハードウェアリビジョンに、リモートコード実行(RCE)の脆弱性が複数発見されたと警告しました。これらの脆弱性は、研究者のYangyifan氏によって技術的な詳細と概念実証(PoC)エクスプロイトコードが公開されており、悪用の危険性が高まっています。
2017年に高性能デュアルバンドワイヤレスルーターとして発売されたDIR-878は、2021年にサポートが終了しているにもかかわらず、現在でも新品または中古品が市場で流通しています。D-Linkは、このモデルに対するセキュリティアップデートは提供されないため、アクティブにサポートされている製品への交換を強く推奨しています。
発見された脆弱性の詳細
D-Linkのセキュリティアドバイザリには、合計4つの脆弱性がリストアップされていますが、そのうち3つはリモートから悪用可能なRCE脆弱性です。残りの1つは、物理アクセスまたはUSBデバイスへの制御が必要となります。
- CVE-2025-60672:SetDynamicDNSSettingsパラメータがNVRAMに保存され、システムコマンドで使用されることにより、リモートからの非認証コマンド実行が可能。
- CVE-2025-60673:SetDMZSettingsおよびサニタイズされていないIPAddress値がiptablesコマンドに注入されることにより、リモートからの非認証コマンド実行が可能。
- CVE-2025-60674:USBストレージ処理におけるスタックオーバーフロー。過大な「Serial Number」フィールドが原因(物理的またはUSBデバイスレベルの攻撃が必要)。
- CVE-2025-60676:/tmp/new_qos.rule内のサニタイズされていないフィールドがsystem()関数を使用するバイナリによって処理されることにより、任意のコマンド実行が可能。
CISAの評価と現実の脅威
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、これらの脆弱性を中程度の深刻度と評価しています。しかし、エクスプロイトコードが公開されている状況は、特にボットネットオペレーターの注意を引きやすく、彼らの攻撃ツールに組み込まれる可能性が高いとされています。
実際、大規模ボットネット「RondoDox」は、D-Linkデバイスに影響を与えるものを含む56以上の既知の脆弱性を悪用しており、常にそのレパートリーを拡大しています。また、最近BleepingComputerが報じた「Aisuru」ボットネットは、50万以上のIPアドレスからMicrosoft Azureネットワークに対して15.72テラビット/秒(Tbps)もの大規模な分散型サービス拒否(DDoS)攻撃を仕掛けています。
推奨される対策
DIR-878ルーターは既にサポートが終了しており、D-Linkからのセキュリティアップデートは提供されません。このため、ユーザーは直ちに当該ルーターの使用を中止し、セキュリティパッチが提供されている最新のルーターへの交換を強く推奨します。サポート切れのデバイスを使い続けることは、悪意のある攻撃者に対してネットワークを無防備にするリスクを伴います。