CVE-2026-0625 : injection de commandes critique (CVSS 9.3) dans les routeurs D-Link DSL en fin de vie. Aucun correctif prévu, remplacement immédiat nécessaire.
Des routeurs D-Link en fin de vie sont activement exploités via la CVE-2026-0625, une injection de commandes critique notée 9.3 sur l'échelle CVSS. Aucun correctif ne sera publié : D-Link a officiellement confirmé que les modèles concernés — DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B — ne recevront plus de mises à jour de sécurité. L'exploitation, observée depuis fin novembre 2025, cible l'endpoint dnscfg.cgi qui gère les paramètres DNS, permettant l'exécution de commandes shell arbitraires à distance sans authentification. VulnCheck avait alerté D-Link dès le 16 décembre 2025, mais le fabricant a choisi de ne pas développer de correctif pour ces équipements discontinués depuis plus de cinq ans. Cette situation crée un risque majeur pour les milliers de passerelles DSL encore déployées dans des environnements résidentiels et professionnels, où ces routeurs servent souvent de premier point d'entrée sur le réseau.
En bref
- Injection de commandes dans dnscfg.cgi (CVSS 9.3) — exécution de commandes shell à distance sans authentification
- Routeurs D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-526B — fin de support, aucun patch prévu
- Remplacement immédiat des équipements affectés — exploitation active depuis novembre 2025
Les faits
La vulnérabilité CVE-2026-0625 a été découverte par les chercheurs de VulnCheck, qui ont informé D-Link le 16 décembre 2025. La faille réside dans le composant dnscfg.cgi, responsable de la configuration des serveurs DNS sur les passerelles DSL de D-Link. Un attaquant distant peut injecter des commandes shell arbitraires via des requêtes HTTP spécialement conçues, sans nécessiter la moindre authentification. L'exploitation active de cette vulnérabilité a été observée depuis fin novembre 2025, soit avant même sa divulgation officielle.
D-Link a confirmé qu'aucun correctif ne sera développé pour les modèles concernés, tous discontinués depuis cinq ans ou plus. Le fabricant recommande le remplacement pur et simple des équipements par des modèles actuellement supportés. Cette situation illustre le problème récurrent des équipements réseau en fin de vie qui restent déployés dans les infrastructures, un risque que nous avions détaillé dans notre analyse des surfaces d'attaque invisibles du SI. Les attaquants exploitent ces routeurs pour du détournement DNS, de l'interception de trafic et comme points de pivot vers le réseau interne.
Impact et exposition
Les routeurs DSL D-Link concernés sont massivement déployés chez des particuliers et dans des petites entreprises, souvent comme passerelle principale vers Internet. L'exploitation de CVE-2026-0625 permet à un attaquant de prendre le contrôle total du routeur, de modifier les paramètres DNS pour rediriger le trafic vers des serveurs malveillants, d'intercepter des communications non chiffrées et d'utiliser l'équipement comme point d'entrée pour des attaques latérales sur le réseau local. Les campagnes d'exploitation observées incluent l'enrôlement des routeurs compromis dans des botnets, similaires aux techniques décrites dans notre article sur l'anatomie des attaques par kill chain.
Recommandations
- Remplacer immédiatement les routeurs D-Link DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B par des équipements actuellement supportés
- En attendant le remplacement, restreindre l'accès à l'interface d'administration aux seules adresses IP du réseau local et désactiver l'administration à distance
- Vérifier les paramètres DNS actuels de vos routeurs pour détecter toute modification non autorisée
- Auditer votre parc réseau pour identifier tous les équipements en fin de vie exposés à Internet
Alerte critique
Aucun correctif ne sera publié pour cette vulnérabilité. Le seul remède est le remplacement physique des équipements affectés. Chaque jour d'exploitation supplémentaire expose votre réseau à une compromission complète.
Comment identifier si mon routeur D-Link est concerné ?
Accédez à l'interface d'administration de votre routeur (généralement 192.168.1.1) et vérifiez le modèle exact affiché sur la page d'accueil ou dans la section « Informations système ». Les modèles affectés sont les DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B. Si votre routeur correspond à l'un de ces modèles, planifiez son remplacement en priorité. Vérifiez également les paramètres DNS : s'ils pointent vers des adresses IP que vous ne reconnaissez pas, votre routeur est potentiellement déjà compromis.
Peut-on atténuer le risque sans remplacer le routeur ?
Les mesures d'atténuation sont limitées mais pas inexistantes. Désactivez l'administration à distance, changez les identifiants par défaut et placez le routeur derrière un pare-feu supplémentaire si possible. Configurez des serveurs DNS de confiance en dur et surveillez régulièrement qu'ils n'ont pas été modifiés. Cependant, ces mesures ne corrigent pas la faille elle-même : un attaquant sur le réseau local ou ayant accès à l'interface WAN peut toujours exploiter la CVE-2026-0625. Le remplacement reste la seule solution pérenne, conformément aux principes d'une architecture Zero Trust.
Cette vulnérabilité met en lumière un problème systémique : des milliers d'équipements réseau obsolètes restent connectés à Internet sans supervision. Un audit de sécurité réseau permet d'identifier ces points faibles avant qu'ils ne soient exploités.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
GlassWorm : 72 extensions Open VSX piégées ciblent les développeurs
La campagne GlassWorm compromet 72 extensions Open VSX pour voler des credentials et tokens cloud. Plus de 9 millions d'installations et 151 dépôts GitHub affectés.
CVE-2026-5281 : zero-day Chrome WebGPU exploité activement
Google corrige CVE-2026-5281, un use-after-free dans Dawn (WebGPU) exploité activement. Quatrième zero-day Chrome de 2026, mise à jour critique requise immédiatement.
Le CMA britannique lance une enquête sur les licences cloud Microsoft
Le CMA britannique ouvre une enquête sur les licences cloud de Microsoft, ciblant les surcoûts imposés aux clients utilisant AWS ou Google Cloud.
Commentaires (1)
Laisser un commentaire