Vulnerabilità critica nei router DSL D-Link: migliaia di dispositivi a rischio

Una falla critica di esecuzione di codice remoto (RCE) nei router DSL D-Link obsoleti è stata identificata come CVE-2026-0625, con un punteggio CVSS v4.0 di 9,3, che indica un rischio elevato per gli utenti che continuano a utilizzare questo hardware. I ricercatori di sicurezza hanno rilevato che tale vulnerabilità viene sfruttata attivamente, il che significa che migliaia di dispositivi non protetti sono esposti a una possibile compromissione completa. L’allarme è stato lanciato poiché questi dispositivi legacy risultano essere estremamente vulnerabili.

“Un aggressore remoto non autenticato può iniettare ed eseguire comandi shell arbitrari, con conseguente esecuzione di codice remoto”, avverte l’avviso di sicurezza emesso.

La falla risiede nell’interfaccia di configurazione DNS del router, in particolare nell’endpoint dnscfg.cgi. Secondo l’avviso del 5 gennaio di VulnCheck, il problema deriva da una sanificazione impropria degli input. Gli aggressori possono sfruttare questa svista per iniettare comandi shell arbitrari direttamente tramite l’interfaccia web del router, senza dover mai effettuare l’accesso.

La vulnerabilità colpisce una specifica gamma di router gateway DSL per uso domestico e per piccoli uffici:

• DSL-526B (Firmware ≤ 2.01)
• DSL-2640B (Firmware ≤ 1.07)
• DSL-2740R (Firmware
• DSL-2780B (Firmware ≤ 1.01.14)

Questo particolare componente non è nuovo a essere bersagliato. I legami storici dell’endpoint coinvolto con noti attacchi DNSChanger, avvenuti tra il 2016 e il 2019, fanno supporre che i responsabili delle minacce stiano riadattando vecchie tattiche per attaccare infrastrutture ormai obsolete.

La Shadowserver Foundation ha rilevato per la prima volta prove di sfruttamento attivo il 27 novembre 2025, mesi prima che la più ampia comunità della sicurezza venisse allertata.

Questa finestra temporale “zero-day” ha consentito agli aggressori di creare una botnet di dispositivi compromessi o di manipolare silenziosamente le impostazioni DNS per reindirizzare il traffico degli utenti verso siti dannosi.

D-Link ha dichiarato che questi modelli risultano fuori produzione (EOL) all’inizio del 2020. Di conseguenza, non sono disponibili né pianificate patch di sicurezza. L’unica soluzione è sostituire l’hardware con un dispositivo moderno e supportato. Continuare a utilizzare questi gateway legacy è come lasciare la porta d’ingresso digitale spalancata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Sandro Sana

Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Aree di competenza: Cyber Threat Intelligence, NIS2, Governance & Compliance della Sicurezza, CSIRT & Crisis Management, Ricerca, Divulgazione e Cultura Cyber

Visita il sito web dell'autore