Vulnerabilità critica nei router DSL D-Link: migliaia di dispositivi a rischio

Una falla critica di esecuzione di codice remoto (RCE) nei router DSL D-Link obsoleti è stata identificata come CVE-2026-0625, con un punteggio CVSS v4.0 di 9,3, che indica un rischio elevato per gli utenti che continuano a utilizzare questo hardware. I ricercatori di sicurezza hanno rilevato che tale vulnerabilità viene sfruttata attivamente, il che significa che migliaia di dispositivi non protetti sono esposti a una possibile compromissione completa. L’allarme è stato lanciato poiché questi dispositivi legacy risultano essere estremamente vulnerabili.

“Un aggressore remoto non autenticato può iniettare ed eseguire comandi shell arbitrari, con conseguente esecuzione di codice remoto”, avverte l’avviso di sicurezza emesso.

La falla risiede nell’interfaccia di configurazione DNS del router, in particolare nell’endpoint dnscfg.cgi. Secondo l’avviso del 5 gennaio di VulnCheck, il problema deriva da una sanificazione impropria degli input. Gli aggressori possono sfruttare questa svista per iniettare comandi shell arbitrari direttamente tramite l’interfaccia web del router, senza dover mai effettuare l’accesso.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La vulnerabilità colpisce una specifica gamma di router gateway DSL per uso domestico e per piccoli uffici:

• DSL-526B (Firmware ≤ 2.01)
• DSL-2640B (Firmware ≤ 1.07)
• DSL-2740R (Firmware
• DSL-2780B (Firmware ≤ 1.01.14)

Questo particolare componente non è nuovo a essere bersagliato. I legami storici dell’endpoint coinvolto con noti attacchi DNSChanger, avvenuti tra il 2016 e il 2019, fanno supporre che i responsabili delle minacce stiano riadattando vecchie tattiche per attaccare infrastrutture ormai obsolete.

La Shadowserver Foundation ha rilevato per la prima volta prove di sfruttamento attivo il 27 novembre 2025, mesi prima che la più ampia comunità della sicurezza venisse allertata.

Questa finestra temporale “zero-day” ha consentito agli aggressori di creare una botnet di dispositivi compromessi o di manipolare silenziosamente le impostazioni DNS per reindirizzare il traffico degli utenti verso siti dannosi.

D-Link ha dichiarato che questi modelli risultano fuori produzione (EOL) all’inizio del 2020. Di conseguenza, non sono disponibili né pianificate patch di sicurezza. L’unica soluzione è sostituire l’hardware con un dispositivo moderno e supportato. Continuare a utilizzare questi gateway legacy è come lasciare la porta d’ingresso digitale spalancata.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.