Explotan vulnerabilidad crítica en routers D-Link DSL sin soporte

Investigadores en ciberseguridad han detectado explotación activa de una vulnerabilidad crítica de inyección de comandos que afecta a múltiples modelos de routers D-Link DSL que han llegado al final de su vida útil (EoL) desde hace varios años. El fallo, ahora registrado como CVE-2026-0625, permite a un atacante remoto no autenticado ejecutar comandos arbitrarios del sistema, lo que podría derivar en un control total del dispositivo.

La vulnerabilidad reside en el endpoint dnscfg.cgi, un componente de la interfaz Common Gateway Interface (CGI) utilizado por los dispositivos para gestionar la configuración DNS. Debido a una sanitización inadecuada de la entrada de datos en una biblioteca CGI heredada, los atacantes pueden inyectar comandos del sistema operativo directamente a través de parámetros manipulados, provocando una ejecución remota de código (RCE).

Explotación detectada en honeypots

El problema fue identificado tras la detección de intentos de explotación reales observados por The Shadowserver Foundation, que capturó la actividad maliciosa en uno de sus honeypots expuestos. Posteriormente, la empresa de inteligencia de vulnerabilidades VulnCheck notificó oficialmente a D-Link el 15 de diciembre, alertando sobre la gravedad del hallazgo.

Según VulnCheck, la técnica de explotación observada no parece haber sido documentada públicamente con anterioridad, lo que sugiere que podría tratarse de un vector relativamente nuevo o de una adaptación específica de métodos clásicos de inyección de comandos contra firmware heredado.

"Un atacante remoto no autenticado puede inyectar y ejecutar comandos arbitrarios de shell, lo que resulta en la ejecución remota de código", advirtió VulnCheck en su aviso de seguridad.

Modelos de routers D-Link afectados por CVE-2026-0625

En colaboración con VulnCheck, D-Link confirmó oficialmente que los siguientes modelos y versiones de firmware son vulnerables a CVE-2026-0625:

• DSL-526B – firmware ≤ 2.01
• DSL-2640B – firmware ≤ 1.07
• DSL-2740R – firmware < 1.17
• DSL-2780B – firmware ≤ 1.01.14

Todos estos dispositivos alcanzaron el final de su vida útil en 2020, lo que significa que ya no reciben actualizaciones de firmware, parches de seguridad ni mantenimiento técnico. Como resultado, no existe ni existirá una corrección oficial para esta vulnerabilidad.

D-Link ha sido claro en su recomendación: retirar y reemplazar inmediatamente los dispositivos afectados por modelos que cuenten con soporte activo y actualizaciones de seguridad regulares.

Dificultades para identificar otros dispositivos vulnerables

El fabricante también reconoció que determinar con precisión el alcance completo del problema es complejo, debido a las múltiples variaciones de firmware y generaciones de productos que comparten componentes heredados.

Citar"Tanto D-Link como VulnCheck se enfrentan a una complejidad significativa para identificar con precisión todos los modelos afectados debido a las variaciones en las implementaciones de firmware", explicó la compañía.

Actualmente, no existe un método fiable para detectar automáticamente los modelos vulnerables, más allá de la inspección manual del firmware. Por este motivo, D-Link continúa validando compilaciones entre plataformas heredadas y productos aún compatibles para descartar impactos adicionales.

¿Cómo puede explotarse esta vulnerabilidad?

Aunque CVE-2026-0625 permite ejecución remota de código sin autenticación, VulnCheck señala que la mayoría de los routers de consumo solo exponen los endpoints CGI a la red local (LAN) de forma predeterminada. Esto limita, en principio, la superficie de ataque.

Sin embargo, la explotación sigue siendo viable en varios escenarios comunes:

• Routers con administración remota habilitada
• Dispositivos expuestos mediante redireccionamiento de puertos
• Ataques basados en navegador desde equipos comprometidos en la LAN
• Entornos donde el router actúa como dispositivo compartido o reutilizado

Una vez explotado, el atacante puede modificar la configuración del dispositivo, instalar malware persistente, redirigir tráfico DNS, integrar el router en una botnet o utilizarlo como punto de acceso para ataques posteriores.

El riesgo persistente de los dispositivos EoL

Este incidente pone de relieve un problema estructural recurrente en la seguridad de redes: el uso continuado de dispositivos al final de su vida útil. Los routers EoL representan un objetivo atractivo para los atacantes porque:

• No reciben parches de seguridad
• Ejecutan firmware obsoleto con vulnerabilidades conocidas
• Suelen permanecer operativos durante años sin supervisión
• Están ampliamente desplegados en hogares y pequeñas empresas

D-Link ha reiterado que los dispositivos EoL no reciben ningún tipo de mantenimiento, por lo que cualquier vulnerabilidad descubierta tras su retirada permanecerá explotable indefinidamente.

Recomendaciones de mitigación

Ante la ausencia de parches, los expertos recomiendan:

• Reemplazar inmediatamente routers EoL por modelos con soporte activo
• Deshabilitar completamente la administración remota
• Segmentar estos dispositivos en redes no críticas, si no pueden retirarse
• Aplicar configuraciones de seguridad restrictivas
• Monitorizar tráfico sospechoso, especialmente DNS

En entornos empresariales o industriales, mantener routers heredados expuestos puede convertirse en un riesgo crítico para la seguridad operativa y la integridad de la red.

Una advertencia clara para usuarios y organizaciones

La explotación activa de CVE-2026-0625 demuestra que los atacantes siguen enfocándose en infraestructura antigua, donde la falta de parches convierte fallos relativamente simples en vectores de compromiso devastadores.

Este caso refuerza la necesidad de auditorías periódicas de activos de red, eliminación de hardware obsoleto y adopción de una estrategia de seguridad que contemple el ciclo de vida completo de los dispositivos.

En un panorama de amenazas cada vez más automatizado, los routers sin soporte siguen siendo uno de los eslabones más débiles de la cadena de seguridad digital.

Fuente: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login