CVE-2026-0625 permet l'exécution de commandes à distance sur des routeurs D-Link en fin de vie. Exploitation active depuis novembre 2025. Aucun patch prévu — remplacement requis.
En bref
- CVE-2026-0625 (CVSS 9.3) : injection de commandes dans les routeurs DSL D-Link en fin de vie, exploité depuis novembre 2025
- Modèles affectés : DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B — aucun patch ne sera publié
- Action requise : remplacer immédiatement ces équipements par des modèles supportés
Les faits
Des attaquants exploitent activement la vulnérabilité CVE-2026-0625 (CVSS 9.3) dans plusieurs modèles de routeurs DSL D-Link en fin de vie depuis 2020. La faille réside dans la bibliothèque dnscfg.cgi, qui ne valide pas correctement les paramètres de configuration DNS soumis par l'utilisateur, permettant à un attaquant distant et non authentifié d'injecter et exécuter des commandes shell arbitraires (source : SecurityWeek, VulnCheck).
Selon les données de The Shadowserver Foundation, l'exploitation de CVE-2026-0625 est observée dans la nature depuis fin novembre 2025. VulnCheck a signalé l'exploitation active à D-Link le 16 décembre 2025 via un rapport sur le comportement DNSChanger ciblant le composant dnscfg.cgi. Les modèles concernés — DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B — sont des firmwares produits entre 2016 et 2019, tous en fin de support. D-Link a confirmé qu'aucun correctif ne sera publié et recommande le remplacement immédiat des équipements (source : BleepingComputer, D-Link Security Advisory).
Impact et exposition
Les routeurs compromis via cette faille sont intégrés dans des botnets utilisés pour des attaques DDoS, du proxying de trafic malveillant, de l'interception de données et du mouvement latéral vers les réseaux internes. Le comportement DNSChanger est particulièrement insidieux : en modifiant les serveurs DNS du routeur, l'attaquant peut rediriger silencieusement tout le trafic des utilisateurs connectés vers des serveurs contrôlés, facilitant le phishing et l'interception de credentials.
Le problème structurel est plus large : des millions de routeurs D-Link en fin de vie restent déployés dans les foyers et les PME à travers le monde, sans aucune perspective de correctif. Cette situation n'est pas isolée — les équipements réseau obsolètes constituent un angle mort récurrent de la sécurité, comme l'ont montré les décisions réglementaires récentes de la FCC.
Recommandations
- Remplacer immédiatement les routeurs D-Link DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B par des modèles activement supportés
- En attendant le remplacement, isoler ces équipements du réseau interne et désactiver l'accès à l'interface d'administration depuis le WAN
- Vérifier les paramètres DNS de vos routeurs — si les serveurs DNS ont été modifiés sans votre intervention, considérez l'équipement comme compromis
- Inventorier l'ensemble des équipements réseau de votre parc et identifier ceux ayant atteint leur fin de support
Alerte critique
Aucun correctif ne sera publié pour cette vulnérabilité. Les routeurs concernés sont activement exploités depuis plus de 4 mois. Le remplacement est la seule remédiation possible. Chaque jour de retard expose votre réseau à une compromission silencieuse.
Comment savoir si mon routeur D-Link est concerné par CVE-2026-0625 ?
Vérifiez le modèle exact sur l'étiquette de votre routeur ou dans l'interface d'administration. Les modèles vulnérables sont : DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B. Si votre routeur est un autre modèle D-Link mais a été acheté avant 2020, vérifiez sur le site D-Link s'il est encore supporté.
Mon routeur D-Link a-t-il déjà été compromis ?
Connectez-vous à l'interface d'administration et vérifiez les serveurs DNS configurés. S'ils ne correspondent pas à ceux de votre FAI ou de services DNS connus (1.1.1.1, 8.8.8.8, 9.9.9.9), votre routeur est probablement compromis. Débranchez-le, réinitialisez-le en usine et remplacez-le dès que possible. Consultez notre guide sur la rétro-ingénierie firmware IoT pour approfondir l'analyse.
Ce cas illustre le risque systémique posé par les équipements en fin de vie dans nos infrastructures réseau. La sécurisation du firmware IoT reste un défi majeur, comme nous l'explorons dans notre article sur le hardware hacking et l'analyse firmware. Les organisations doivent intégrer la gestion du cycle de vie des équipements dans leur stratégie de sécurité, au même titre que la gestion des audits de sécurité SI.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditTélécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-21385 : Qualcomm corrige un zero-day Android exploité
Google confirme l'exploitation ciblée de CVE-2026-21385, une faille Qualcomm affectant plus de 200 chipsets Android. Correctif disponible dans le bulletin de mars 2026.
Chrome 146 : Google corrige deux zero-days Skia et V8 exploités
Google corrige deux zero-days Chrome exploités dans la nature : CVE-2026-3909 dans Skia et CVE-2026-3910 dans V8. Mise à jour immédiate recommandée pour tous les navigateurs Chromium.
Mistral lance Voxtral TTS, modèle vocal open source à 4B
Mistral AI publie Voxtral TTS, un modèle text-to-speech open weight de 4B paramètres supportant 9 langues avec 90 ms de latence et clonage vocal.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire