脅威アクターが台湾を拠点とする情報通信機器メーカー、D-Link社の旧型DSLルーターに存在する脆弱性CVE-2026-0625を積極的に悪用しているということです。この脆弱性のCVSSスコアは9.3です。
CVE-2026-0625として登録
CVE-2026-0625は2026年1月5日に公開されたDNS構成エンドポイント経由のD-Link DSL コマンドインジェクションの脆弱性です。認証されていないリモート攻撃者が任意のシェルコマンドを挿入・実行することで、リモートコード実行につながる可能性があるということです。影響を受ける製品はすべてアップデートやセキュリティメンテナンスの対象外であることからD-Linkは旧型デバイスの使用を中止して定期的にファームウェアアップデートが提供されるサポート対象製品に切り替えることを推奨しています。
この脆弱性はサイバーセキュリティ調査会社のVulnCheckが昨年12月16日にD-Linkに報告したもので、今年1月5日にCVE-2026-0625として公開されました。D-LinkはGhostDNSというデータ窃取が目的とみられる大規模なDNSハイジャックシステムの攻撃に対処するために2019年にセキュリティアドバイザリとファームウェアアップデートを公開しています。Netlabの報告によるとD-Linkを含む複数のベンダーのルーターがGhostDNSの影響を受け、影響を受けたルーター数は世界中の10万台以上にのぼり、多くはブラジルに集中していたという経緯があります。
D-Linkによると、CVE-2026-0625を悪用して現在、行われている攻撃はGhostDNSやルーターの設定インターフェイスを標的とするDNSChangerと同様の攻撃とみられるようです。GhostDNSはDNSChangerの進化形で、これまでに複数の亜種が特定されており、亜種の中にはモジュールとして機能し主にクラウドインフラストラクチャ上にホストされた100万台以上に影響し、パブリックインターネットと内部ネットワークの両方にあるルーターを標的にするように設計された100以上の攻撃スクリプトが含まれているものもあるということです。D-Linkは対象製品を廃棄するように強く求めており、そのまま継続して使用した場合、接続しているデバイスにリスクが生じる可能性があると警告しています。
昨年11月末にシャドウサーバー財団が記録
VulnCheckによると、CVE-2026-0625を悪用した攻撃は昨年11月27日にシャドウサーバー財団によって記録されたということです。シャドウサーバー財団は、グローバルなインターネット監視団体で、IPv4インターネットを1日100回以上スキャンし、世界中にハニーポットとハニークライアントを設置して大規模なセンサーネットワークを構築してマルウェアやスパム、ボット、ボットネットに関する情報を収集しています。
D-Link社の製品をめぐっては、米CISAが2024年9月にD-LinkのルーターのOSコマンドインジェクションの脆弱性CVE-2023-25280を悪用されている既知の脆弱性カタログKEVに追加、さらに昨年8月にはCVE-2020-25078、CVE-2020-25079とCVE-2022-40799の3件をKEVに追加しています。
【出典】
https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10488
https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint