07 jan Vulnerabilidade crítica em roteadores D-Link permite controle remoto sem senha
Pesquisadores de cibersegurança descobriram uma vulnerabilidade crítica em roteadores DSL da D-Link que já foram descontinuados. Classificada como CVE-2026-0625 e considerada de gravidade 9,3, a falha permite que cibercriminosos executem comandos maliciosos de forma remota, sem precisar de qualquer autenticação ou senha.
A vulnerabilidade está em um componente de injeção de comando no endpoint “dnscfg.cgi”, que não valida adequadamente as informações de configuração de DNS que recebe do usuário. Basicamente, isso possibilita que cibercriminosos enviem comandos específicos via Internet e assumam controle completo do roteador.
“Um invasor remoto não autenticado pode injetar e executar comandos shell arbitrários, resultando na execução remota de código”, observou a VulnCheck em um comunicado.
Histórico de exploração em campanhas de sequestro de DNS
Entre 2016 e 2019, a mesma vulnerabilidade foi explorada em campanhas massivas de sequestro de DNS, afetando pelo menos 4 modelos.
Segundo dados da Shadowserver Foundation, ataques explorando essa vulnerabilidade começaram a ser detectados em 27 de novembro de 2025. A empresa de segurança VulnCheck reportou a situação para a D-Link em 16 de dezembro de 2025, e desde então a fabricante está investigando o uso histórico e atual da biblioteca CGI em todos os seus produtos.
Desafios na identificação de modelos afetados
A D-Link afirma algumas complexidades na determinação precisa dos modelos afetados devido a variações nas implementações de firmware e gerações de produtos — já que muitos deles foram descontinuados há mais de 5 anos, então não recebem mais atualizações da companhia. Uma lista atualizada de modelos específicos deve ser publicada ainda esta semana, assim que a revisão do firmware for concluída.
“A análise atual não mostra nenhum método confiável de detecção de números de modelo além da inspeção direta do firmware”, afirmou a D-Link. “Por esse motivo, a D-Link está validando as compilações de firmware em plataformas legadas e compatíveis como parte da investigação.”
Nesta fase, a identidade dos agentes da ameaça que exploram a falha e a escala de tais esforços não são conhecidas. Dado que a vulnerabilidade afeta produtos de gateway DSL que foram descontinuados, é importante que os proprietários dos dispositivos os retirem de serviço e atualizem para dispositivos ativamente suportados que recebem atualizações regulares de firmware e segurança.
Riscos do comprometimento de roteadores
“O CVE-2026-0625 expõe o mesmo mecanismo de configuração de DNS utilizado em campanhas de sequestro de DNS em grande escala no passado”, afirmou a Field Effect. “A vulnerabilidade permite a execução remota de código não autenticado através do endpoint dnscfg.cgi, dando aos invasores controle direto sobre as configurações de DNS sem credenciais ou interação do usuário.”
“Uma vez alteradas, as entradas DNS podem redirecionar, interceptar ou bloquear silenciosamente o tráfego downstream, resultando em um comprometimento persistente que afeta todos os dispositivos atrás do roteador. Como os modelos DSL da D-Link afetados estão em fim de vida útil e não podem ser corrigidos, as organizações que continuam a operá-los enfrentam um risco operacional elevado”, explicou a companhia.
O risco é significativo porque quando um invasor compromete o roteador e altera as configurações de DNS, ele pode redirecionar todo o tráfego de internet de todos os dispositivos conectados àquela rede, permitindo interceptação de dados, bloqueio de acesso a sites ou redirecionamento para páginas falsas.
Além disso, esses roteadores comprometidos podem ser usados para montar ataques DDoS, servir como proxies para esconder a origem de atividades criminosas ou como ponto de entrada para invadir outros dispositivos na rede doméstica ou corporativa.
Para mais dicas de segurança, acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia.