Des routeurs DSL D-Link rangés au placard par le constructeur depuis des années font l’objet de nouvelles attaques. Une faille critique dans leur module de configuration DNS est déjà exploitée, alors même que ces modèles ne recevront plus aucun correctif de sécurité.
VulnCheck a documenté une vulnérabilité référencée CVE-2026-0625 qui permet d’exécuter des commandes à distance via la configuration DNS, après que The Shadowserver Foundation a détecté des tentatives d’exploitation sur l’un de ses serveurs de surveillance fin novembre. D-Link a confirmé l’existence de la faille sur plusieurs références de routeurs déjà abandonnées, ouvert une enquête pour mesurer l’ampleur réelle du problème et recommande désormais aux utilisateurs et utilisatrices de tourner la page sur ces passerelles DSL vieillissantes.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une injection de commandes dans la configuration DNS, déjà exploitée
Pour comprendre de quoi il retourne exactement, il faut savoir que sur ces anciens modèles DSL, l’interface d’administration s’appuie sur de petits programmes que le routeur exécute quand vous modifiez un réglage. Pour la configuration DNS, ce rôle revient à un script nommé dnscfg.cgi. Quand vous changez vos adresses DNS dans la console web du routeur et que vous validez, ce programme récupère les nouveaux paramètres et les insère dans une commande à faire exécuter par le firmware du routeur.
Pour générer cette commande, ce script s’appuie sur une bibliothèque de code interne censée traiter les adresses DNS comme de simples données. En théorie, elle devrait vérifier que ce qui lui parvient correspond bien à une adresse IP ou à un nom de serveur, écarter les caractères qui n’ont rien à faire là et ne transmettre au firmware que cette partie strictement validée. Or, dans le cas de CVE-2026-0625, elle reprend au contraire les paramètres tels quels et les colle dans la ligne de commande. En clair, si, en plus d’une adresse DNS, un attaquant ajoute des caractères utilisés pour enchaîner des instructions, le routeur interprète l’ensemble et exécute aussi la partie malveillante.
Le plus inquiétant dans toute cette histoire, c’est que l’attaquant n’a même pas besoin de s’identifier ni d’ouvrir lui-même l’interface d’administration. Il lui suffit d’envoyer une requête à l’adresse du script de configuration DNS du routeur, avec des paramètres spécialement préparés pour détourner la commande. On comprend dès lors que la vulnérabilité soit classée critique, affublée d’un triste score CVSS de 9.3, puisqu’elle permet une exécution de code à distance par un acteur non authentifié.
VulnCheck et D-Link ont pour l’instant confirmé l’exploitation active de cette faille sur quatre modèles, les DSL-526B (firmware v2.01 et versions antérieures), DSL-2640B (v1.07 et antérieures), DSL-2740R (versions antérieures à v1.17) et DSL-2780B (v 1.01.14 et antérieures). Tous intègrent cette bibliothèque de code vulnérable et ont été déclarés en fin de vie en 2020, ce qui signifie qu’aucun patch ne sera publié pour neutraliser CVE-2026-0625 sur ces équipements.
D-Link fouille ses firmwares, les utilisateurs doivent tourner la page
En marge de cette affaire, VulnCheck confirme que des traces d’exploitation ont été observées le 27 novembre 2025 par The Shadowserver Foundation sur l’un de ses serveurs leurres configurés pour capter ce type d’activité. D’après les premières conclusions, la technique employée ne correspond à aucun procédé d’attaque divulgué publiquement à ce jour, ce qui laisse penser à une exploitation ciblée ou encore relativement confidentielle. D-Link, de son côté, indique avoir ouvert une enquête interne dès la notification reçue le 16 décembre.
Le plus délicat consiste désormais à comprendre jusqu’où s’étend le problème. D-Link a reconnu qu’il n’existait pas de méthode fiable pour identifier les modèles concernés à partir du seul numéro de référence, et que les variations de firmwares, de révisions matérielles et de générations de produits imposaient une vérification au cas par cas. Le constructeur assure mener une enquête approfondie sur des modèles anciens comme sur des produits encore supportés, en inspectant les firmwares un à un, et s’est engagé à publier au fil de l’enquête une liste régulièrement mise à jour des références et versions en cours d’analyse.
À toutes fins utiles, on précisera que le détournement de CVE-2026-0625 suppose que l’interface web d’administration du routeur soit joignable, mais pas que l’attaquant s’y connecte comme un utilisateur légitime. Dans une configuration domestique classique, ce service n’est accessible que depuis le réseau local. L’attaquant doit donc déjà être en mesure d’atteindre l’adresse interne du routeur, depuis une machine présente sur le même réseau ou via le navigateur d’une personne qui visite une page web piégée capable d’envoyer des requêtes directement vers l’adresse locale du routeur.
En revanche, si l’administration à distance est activée, le routeur accepte aussi des connexions de gestion depuis Internet. L’attaquant peut alors s’adresser directement au script vulnérable, sans être connecté au réseau local ni passer par une page web malveillante. Dans ce cas, le risque n’est pas tant de faire l’objet d’une attaque ciblée que d’être happé par le flot de scans automatisés qui testent en continu des plages d’adresses IP à la recherche d’équipements vulnérables.
Si vous dépendez encore de ces passerelles DSL D-Link en fin de vie, il faudra donc sérieusement envisager de changer de routeur pour un modèle plus récent. À défaut de remplacement immédiat, le minimum consiste à désactiver l’administration distante, vérifier que l’interface n’est pas accessible depuis l’extérieur, appliquer le dernier firmware disponible et cantonner ces routeurs à des usages non critiques sur des segments réseau isolés. Enfin, au-delà de l’exposition de vos propres données, ce type d’équipement obsolète fournit du pain béni pour les botnets, qui agrègent des appareils vulnérables afin d’en faire des relais d’attaque ou des nœuds de proxy à l’insu de leurs propriétaires.
