تم اكتشاف ثغرة أمنية حرجة حديثًا في أجهزة توجيه بوابة D-Link DSL القديمة، وتشهد هذه الثغرة استغلالًا نشطًا في الوقت الحالي.
تعرف الثغرة بـ CVE-2026-0625، ولها درجة خطورة 9.3 وفقًا لمقياس CVSS. وتتعلق بمشكلة حقن الأوامر في نقطة النهاية “dnscfg.cgi” الناتجة عن عدم التحقق المناسب من معلمات تكوين DNS المقدمة من المستخدم.
تسمح هذه الثغرة لمهاجم خارجي غير مصادق عليه بحقن وتنفيذ أوامر shell تعسفية، مما يؤدي إلى تنفيذ تعليمات برمجية عن بعد.
وفقًا لشركة VulnCheck، فإن نقطة النهاية المتأثرة مرتبطة أيضًا بسلوك تعديل DNS غير المصادق عليه (DNSChanger) الذي أبلغت عنه D-Link سابقًا. وقد أشارت الشركة إلى وجود حملات استغلال نشطة تستهدف إصدارات البرامج الثابتة لطرازات DSL-2740R، و DSL-2640B، و DSL-2780B، و DSL-526B خلال الفترة من 2016 إلى 2019.
استغلال ثغرة CVE-2026-0625 يشكل خطرًا على مستخدمي أجهزة D-Link القديمة
سجلت مؤسسة Shadowserver Foundation محاولات استغلال لـ CVE-2026-0625 في 27 نوفمبر 2025. وتجدر الإشارة إلى أن بعض الأجهزة المتضررة قد وصلت إلى نهاية عمرها الافتراضي (EoL) منذ أوائل عام 2020.
تشمل الأجهزة التي تم تحديدها كمتأثرة ما يلي:
DSL-2640B (الإصدارات الأقدم أو تساوي 1.07)
DSL-2740R (الإصدارات الأقدم من 1.17)
DSL-2780B (الإصدارات الأقدم أو تساوي 1.01.14)
DSL-526B (الإصدارات الأقدم أو تساوي 2.01)
في المقابل، بادرت D-Link بإجراء تحقيق داخلي بعد تقرير تلقته في 16 ديسمبر 2025 بخصوص الاستغلال النشط لـ “dnscfg.cgi”. وتعمل الشركة حاليًا على تحديد الاستخدام التاريخي والحالي لمكتبة CGI عبر جميع منتجاتها.
أشارت D-Link أيضًا إلى التعقيدات في تحديد الطرازات المتأثرة بدقة بسبب الاختلافات في تنفيذ البرامج الثابتة وأجيال المنتج. ومن المتوقع نشر قائمة محدثة بالطرازات المحددة في وقت لاحق من هذا الأسبوع بعد الانتهاء من مراجعة مستوى البرنامج الثابت.
بحسب D-Link، لا توجد حاليًا طريقة موثوقة للكشف عن رقم الطراز تتجاوز الفحص المباشر للبرنامج الثابت. ولذلك، تقوم الشركة بالتحقق من تفاصيل بناء البرامج الثابتة عبر المنصات القديمة والمدعومة كجزء من التحقيق.
في هذه المرحلة، لم يتم تحديد هوية الجهات المهددة التي تستغل الثغرة أو مدى حجم هذه الجهود. ونظرًا لأن الثغرة تؤثر على منتجات بوابة DSL التي تم إيقافها، فمن الضروري أن يقوم أصحاب الأجهزة بإيقاف تشغيلها وترقيتها إلى أجهزة مدعومة بشكل نشط تتلقى تحديثات منتظمة للبرامج الثابتة والأمان.
وفقًا لشركة Field Effect، فإن CVE-2026-0625 تكشف عن نفس آلية تكوين DNS التي تم استغلالها في حملات اختطاف DNS واسعة النطاق في الماضي. وتمنح الثغرة بصورة غير مصادق عليها المهاجمين القدرة على التحكم المباشر في إعدادات DNS دون الحاجة إلى بيانات اعتماد أو تفاعل المستخدم.
بمجرد تغيير إدخالات DNS، يمكنها إعادة توجيه حركة المرور أو اعتراضها أو حظرها بصمت، مما يؤدي إلى اختراق مستمر يؤثر على كل جهاز خلف جهاز التوجيه. ولأن طرازات D-Link DSL المتأثرة قد وصلت إلى نهاية عمرها الافتراضي ولا يمكن تصحيحها، فإن المنظمات التي تستمر في تشغيلها تواجه خطرًا تشغيليًا متزايدًا.