CVE-2026-0625 : zero-day exploité sur routeurs D-Link

La veille cybersécurité permanente est devenue une nécessité opérationnelle pour les équipes de sécurité, permettant d'anticiper les nouvelles menaces, de prioriser les actions de remédiation et d'adapter les stratégies de défense en temps réel. L'actualité de la cybersécurité est marquée par une accélération sans précédent des menaces, des vulnérabilités et des incidents affectant organisations et particuliers à l'échelle mondiale. Les équipes de sécurité doivent maintenir une veille permanente pour anticiper les risques émergents, appliquer les correctifs critiques et adapter leurs stratégies de défense. Cette analyse décrypte les derniers événements marquants du paysage cyber et leurs implications concrètes pour la protection de vos systèmes d'information. À travers l'analyse de CVE-2026-0625 : zero-day exploité sur routeurs D-L, nous vous proposons un décryptage complet des enjeux et des solutions à mettre en œuvre.

Les faits

Des attaquants exploitent activement la vulnérabilité CVE-2026-0625 (CVSS 9.3) dans plusieurs modèles de routeurs DSL D-Link en fin de vie depuis 2020. La faille réside dans la bibliothèque dnscfg.cgi, qui ne valide pas correctement les paramètres de configuration DNS soumis par l'utilisateur, permettant à un attaquant distant et non authentifié d'injecter et exécuter des commandes shell arbitraires (source : SecurityWeek, VulnCheck).

Selon les données de The Shadowserver Foundation, l'exploitation de CVE-2026-0625 est observée dans la nature depuis fin novembre 2025. VulnCheck a signalé l'exploitation active à D-Link le 16 décembre 2025 via un rapport sur le comportement DNSChanger ciblant le composant dnscfg.cgi. Les modèles concernés — DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B — sont des firmwares produits entre 2016 et 2019, tous en fin de support. D-Link a confirmé qu'aucun correctif ne sera publié et recommande le remplacement immédiat des équipements (source : BleepingComputer, D-Link Security Advisory).

Impact et exposition

Les routeurs compromis via cette faille sont intégrés dans des botnets utilisés pour des attaques DDoS, du proxying de trafic malveillant, de l'interception de données et du mouvement latéral vers les réseaux internes. Le comportement DNSChanger est particulièrement insidieux : en modifiant les serveurs DNS du routeur, l'attaquant peut rediriger silencieusement tout le trafic des utilisateurs connectés vers des serveurs contrôlés, facilitant le phishing et l'interception de credentials.

Le problème structurel est plus large : des millions de routeurs D-Link en fin de vie restent déployés dans les foyers et les PME à travers le monde, sans aucune perspective de correctif. Cette situation n'est pas isolée — les équipements réseau obsolètes constituent un angle mort récurrent de la sécurité, comme l'ont montré les décisions réglementaires récentes de la FCC.

Recommandations

• Remplacer immédiatement les routeurs D-Link DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B par des modèles activement supportés
• En attendant le remplacement, isoler ces équipements du réseau interne et désactiver l'accès à l'interface d'administration depuis le WAN
• Vérifier les paramètres DNS de vos routeurs — si les serveurs DNS ont été modifiés sans votre intervention, considérez l'équipement comme compromis
• Inventorier l'ensemble des équipements réseau de votre parc et identifier ceux ayant atteint leur fin de support

Ce cas illustre le risque systémique posé par les équipements en fin de vie dans nos infrastructures réseau. La sécurisation du firmware IoT reste un défi majeur, comme nous l'explorons dans notre article sur le hardware hacking et l'analyse firmware. il est recommandé de intégrer la gestion du cycle de vie des équipements dans leur stratégie de sécurité, au même titre que la gestion des audits de sécurité SI.