Router D-Link sotto assedio (CVE-2026-0625): hacker entrano senza password e dirottano i DNS

News
Visite: 260

Una vulnerabilita critica sta colpendo diversi router DSL D Link di vecchia generazione, con attacchi attivi gia osservati in rete. Il problema riguarda una falla di sicurezza identificata come CVE 2026 0625 con punteggio CVSS 9.3, classificata come remote code execution. In pratica un attaccante remoto non autenticato puo sfruttare una command injection per eseguire comandi sul dispositivo e ottenere il controllo del router.

La debolezza nasce da una sanitizzazione inadeguata dei parametri inseriti nella configurazione DNS. Il punto di ingresso e un endpoint chiamato dnscfg.cgi, utilizzato per gestire i valori DNS. Manipolando opportunamente i parametri, un aggressore puo iniettare comandi di shell e farli eseguire dal sistema operativo del router, senza credenziali e senza interazione dell utente. Questo scenario rende la vulnerabilita particolarmente pericolosa per la sicurezza di rete domestica e aziendale, perche il router e un nodo centrale attraverso cui passa tutto il traffico.

Oltre alla remote code execution, la stessa superficie di attacco e collegata a comportamenti di modifica DNS non autenticata, spesso descritti come DNS hijacking o DNSChanger. Cambiando i server DNS, un attaccante puo reindirizzare la navigazione verso siti fraudolenti, intercettare richieste, bloccare servizi o inserire pubblicita malevola. Il rischio e persistente perche ogni dispositivo collegato al router eredita le impostazioni DNS compromesse.

Le segnalazioni indicano che tentativi di sfruttamento sono stati rilevati gia a fine novembre 2025. I modelli citati includono varianti firmware di DSL 2740R, DSL 2640B, DSL 2780B e DSL 526B, con versioni firmware specifiche considerate vulnerabili. Un aspetto critico e che molti di questi router hanno raggiunto lo stato end of life, risultando difficili o impossibili da correggere con aggiornamenti ufficiali.

In parallelo e stata avviata una verifica interna per capire quali prodotti condividano la stessa libreria CGI e quali firmware siano realmente esposti, anche per via delle differenze tra generazioni e implementazioni. In assenza di un metodo affidabile per riconoscere i modelli vulnerabili senza ispezione del firmware, la misura piu efficace resta la sostituzione del router con un dispositivo supportato e aggiornato, mantenendo firmware e impostazioni di sicurezza sempre allineati.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP is a BU of Fata Informatica.
Since 1994, we have been providing IT security services to large civil and military organizations.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Specialized Training
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Monday-Friday
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contact us

Do you need our cybersecurity services?

Privacy policy

We invite you to read our
privacy policy for the protection of your personal data.
Disclaimer
Some of the photos on Cybersecurityup.it may have been taken from the Internet and therefore considered to be in the public domain. If the subjects or authors have any objections to their publication, they can report this by email to the editorial staff, who will promptly remove the images used.
© 2026 Fata Informatica. All rights reserved.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalitĂ  del sito.

Ok Rifiuta