Ranjivost tipa OS command injection u povučenim D-Link gateway uređajima iskorištava se u praksi kao zero-day.
Praćena pod oznakom CVE-2026-0625 (CVSS ocjena 9.3), ova bezbjednosna greška postoji jer biblioteka dnscfg.cgi ne vrši adekvatnu sanitizaciju DNS konfiguracionih parametara koje unosi korisnik.
Problem omogućava udaljenim, neautentifikovanim hakerima da ubace i izvršavaju proizvoljne shell komande, čime se postiže udaljeno izvršavanje koda (RCE), objašnjava kompanija za obavještajne podatke o ranjivostima VulnCheck.
„Pogođeni endpoint je takođe povezan sa ponašanjem neautentifikovane izmjene DNS-a (DNSChanger) koje je dokumentovao D-Link, a koji je prijavio aktivne kampanje eksploatacije usmjerene na firmware varijante modela DSL-2740R, DSL-2640B, DSL-2780B i DSL-526B u periodu od 2016. do 2019. godine“, navodi VulnCheck.
Na osnovu podataka organizacije The Shadowserver Foundation, CVE-2026-0625 se iskorištava u praksi od kraja novembra 2025. godine, ističe ova kompanija.
Prema navodima D-Linka, iskorišteni zero-day utiče na više modela uređaja. Međutim, razlike u implementacijama firmware-a otežavaju sastavljanje tačne liste ranjivih uređaja.
„D-Link nastavlja detaljnu analizu na nivou firmware-a kako bi se utvrdilo koji su uređaji pogođeni. Ažurirana lista konkretnih modela i, gdje je primjenjivo, verzija firmware-a koje su predmet analize biće objavljena kasnije ove sedmice“, navodi kompanija u bezbjednosnom saopštenju.
Potvrđeni ranjivi modeli, prema D-Linku, su naslijeđeni DSL gateway uređaji koji su povučeni sa tržišta prije više od pet godina.
„Svi do sada potvrđeni nalazi ukazuju na naslijeđene DSL gateway proizvode koji su dostigli kraj životnog ciklusa ili kraj podrške prije više od pet godina. Ovi proizvodi više ne dobijaju firmware ažuriranja, bezbjednosne zakrpe niti aktivno inženjersko održavanje“, objašnjava kompanija.
Zakrpа za ovaj zero-day neće biti objavljena i vlasnici ranjivih D-Link proizvoda trebalo bi da ih povuku iz upotrebe i zamijene podržanim modelima, navodi kompanija.
Trenutno ne postoje detaljne informacije o napadima koji iskorištavaju CVE-2026-0625, ali kompromitovani D-Link mrežni uređaji mogu biti zloupotrijebljeni od strane hakera u različite svrhe, uključujući DDoS napade, proxy servise, presretanje i preusmjeravanje saobraćaja, kao i lateralno kretanje unutar mreže.
Izvor: SecurityWeek