Des routeurs D-Link en fin de vie sont activement exploités via la CVE-2026-0625, une injection de commandes critique notée 9.3 sur l'échelle CVSS. Aucun correctif ne sera publié : D-Link a officiellement confirmé que les modèles concernés — DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B — ne recevront plus de mises à jour de sécurité. L'exploitation, observée depuis fin novembre 2025, cible l'endpoint dnscfg.cgi qui gère les paramètres DNS, permettant l'exécution de commandes shell arbitraires à distance sans authentification. VulnCheck avait alerté D-Link dès le 16 décembre 2025, mais le fabricant a choisi de ne pas développer de correctif pour ces équipements discontinués depuis plus de cinq ans. Cette situation crée un risque majeur pour les milliers de passerelles DSL encore déployées dans des environnements résidentiels et professionnels, où ces routeurs servent souvent de premier point d'entrée sur le réseau.

En bref

  • Injection de commandes dans dnscfg.cgi (CVSS 9.3) — exécution de commandes shell à distance sans authentification
  • Routeurs D-Link DSL-2740R, DSL-2640B, DSL-2780B, DSL-526B — fin de support, aucun patch prévu
  • Remplacement immédiat des équipements affectés — exploitation active depuis novembre 2025

Les faits

La vulnérabilité CVE-2026-0625 a été découverte par les chercheurs de VulnCheck, qui ont informé D-Link le 16 décembre 2025. La faille réside dans le composant dnscfg.cgi, responsable de la configuration des serveurs DNS sur les passerelles DSL de D-Link. Un attaquant distant peut injecter des commandes shell arbitraires via des requêtes HTTP spécialement conçues, sans nécessiter la moindre authentification. L'exploitation active de cette vulnérabilité a été observée depuis fin novembre 2025, soit avant même sa divulgation officielle.

D-Link a confirmé qu'aucun correctif ne sera développé pour les modèles concernés, tous discontinués depuis cinq ans ou plus. Le fabricant recommande le remplacement pur et simple des équipements par des modèles actuellement supportés. Cette situation illustre le problème récurrent des équipements réseau en fin de vie qui restent déployés dans les infrastructures, un risque que nous avions détaillé dans notre analyse des surfaces d'attaque invisibles du SI. Les attaquants exploitent ces routeurs pour du détournement DNS, de l'interception de trafic et comme points de pivot vers le réseau interne.

Impact et exposition

Les routeurs DSL D-Link concernés sont massivement déployés chez des particuliers et dans des petites entreprises, souvent comme passerelle principale vers Internet. L'exploitation de CVE-2026-0625 permet à un attaquant de prendre le contrôle total du routeur, de modifier les paramètres DNS pour rediriger le trafic vers des serveurs malveillants, d'intercepter des communications non chiffrées et d'utiliser l'équipement comme point d'entrée pour des attaques latérales sur le réseau local. Les campagnes d'exploitation observées incluent l'enrôlement des routeurs compromis dans des botnets, similaires aux techniques décrites dans notre article sur l'anatomie des attaques par kill chain.

Recommandations

  • Remplacer immédiatement les routeurs D-Link DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B par des équipements actuellement supportés
  • En attendant le remplacement, restreindre l'accès à l'interface d'administration aux seules adresses IP du réseau local et désactiver l'administration à distance
  • Vérifier les paramètres DNS actuels de vos routeurs pour détecter toute modification non autorisée
  • Auditer votre parc réseau pour identifier tous les équipements en fin de vie exposés à Internet

Alerte critique

Aucun correctif ne sera publié pour cette vulnérabilité. Le seul remède est le remplacement physique des équipements affectés. Chaque jour d'exploitation supplémentaire expose votre réseau à une compromission complète.

Comment identifier si mon routeur D-Link est concerné ?

Accédez à l'interface d'administration de votre routeur (généralement 192.168.1.1) et vérifiez le modèle exact affiché sur la page d'accueil ou dans la section « Informations système ». Les modèles affectés sont les DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B. Si votre routeur correspond à l'un de ces modèles, planifiez son remplacement en priorité. Vérifiez également les paramètres DNS : s'ils pointent vers des adresses IP que vous ne reconnaissez pas, votre routeur est potentiellement déjà compromis.

Peut-on atténuer le risque sans remplacer le routeur ?

Les mesures d'atténuation sont limitées mais pas inexistantes. Désactivez l'administration à distance, changez les identifiants par défaut et placez le routeur derrière un pare-feu supplémentaire si possible. Configurez des serveurs DNS de confiance en dur et surveillez régulièrement qu'ils n'ont pas été modifiés. Cependant, ces mesures ne corrigent pas la faille elle-même : un attaquant sur le réseau local ou ayant accès à l'interface WAN peut toujours exploiter la CVE-2026-0625. Le remplacement reste la seule solution pérenne, conformément aux principes d'une architecture Zero Trust.

Cette vulnérabilité met en lumière un problème systémique : des milliers d'équipements réseau obsolètes restent connectés à Internet sans supervision. Un audit de sécurité réseau permet d'identifier ces points faibles avant qu'ils ne soient exploités.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit