據資安媒體BleepingComputer報道資安社群近日揭露一項正在被實際利用的新漏洞,目標直指 多款 D-Link 已退役(EoL)的 DSL 家用閘道器。由於這些設備早在數年前停止維護,無法取得安全更新,對使用者構成極高風險。
這項漏洞已被編列為 CVE-2026-0625,核心問題源於 dnscfg.cgi 端點在處理輸入時缺乏嚴謹的檢查,導致攻擊者能透過 DNS 設定參數,注入惡意指令並遠端執行系統命令(RCE)。更糟糕的是,攻擊不需認證,任何人皆可直接觸發。
漏洞來源與攻擊跡象
漏洞最初由 The Shadowserver Foundation 於蜜網環境中偵測到攻擊行為,並由漏洞情報單位 VulnCheck 進一步確認後於 12 月 15 日通報 D-Link。
VulnCheck 指出,Shadowserver 捕捉到的攻擊技巧過去未曾公開,而 D-Link 與 VulnCheck 也確認攻擊成功後會導致完整的系統指令控制權限外泄。
VulnCheck 報告強調:「未經認證者即可注入並執行任意 Shell 指令,最終導致遠端代碼執行。」
受影響機種(皆已 EoL,無法再獲更新)
D-Link 已確認下列型號與版本受到 CVE-2026-0625 的影響:
| 型號 | 受影響版本 |
| DSL-526B | ≤ 2.01 |
| DSL-2640B | ≤ 1.07 |
| DSL-2740R | < 1.17 |
| DSL-2780B | ≤ 1.01.14 |
上述產品皆在 2020 年前後停止維護(EoL),不再提供安全更新。
換句話說,官方不會修補這個漏洞。
D-Link 目前仍在釐清更舊或區域型號是否也受影響,但坦言產品世代與固件版本繁多,使得識別困難度上升。
攻擊條件與風險評估
多數家用 DSL 路由器的 CGI 管理介面(如 dnscfg.cgi)預設僅能在區域網路(LAN)存取,因此攻擊者有兩種可能方式:
瀏覽器為入口的攻擊鏈(browser-based attack)
利用惡意網站或 XSS 結合:
- 使用者瀏覽惡意頁面
- 攻擊者透過瀏覽器向路由器管理端點發送惡意請求
- 遠端取得裝置控制權
裝置開啟遠端管理(WAN administration)
若使用者啟用 WAN 端管理介面,設備將可被外部直接掃描、攻擊,風險更高。
資安專家建議:立即汰換、停止暴露於網際網路
對已經 EoL 的網通設備,資安風險並不只是「缺乏新功能」,而是:
無安全補丁
無維護、無監控
已知漏洞將持續被攻擊者利用
因此建議:
(1)立即更換為仍受支援的設備
使用可持續更新固件的產品,包含安全修補與漏洞防護。
(2)若暫時無法汰換,至少進行以下設定
- 關閉遠端管理(Remote Management / WAN Access)
- 將設備部署在非關鍵網路(如隔離區段)
- 使用最新可得的舊版固件
- 建置網路層 ACL、阻擋外部管理連線
- 啟用網段隔離(LAN segmentation)
結語:老舊設備是攻擊者最容易得手的入口
本次事件再次提醒所有企業與家庭用戶:
網路設備的安全生命週期(Security Lifecycle)與其功能壽命不同。
即使設備仍能運作,只要進入 EoL:
- 風險便會隨時間與漏洞累積而急劇上升
- 成為攻擊者最容易利用的入侵點之一
在威脅環境快速演變的 2025–2026 年,持續使用停更設備已不再只是「不建議」,而是明確的 高風險行為。