Uma falha crítica de segurança descoberta em modelos antigos de roteadores DSL da D-Link está sendo explorada ativamente por cibercriminosos. A vulnerabilidade, identificada como CVE 2026 0625, permite a execução remota de comandos sem a necessidade de autenticação, colocando redes domésticas e corporativas em risco de comprometimento total. O problema está em um endpoint do sistema de configuração DNS, que não valida corretamente os dados recebidos. Isso possibilita que atacantes injetem comandos maliciosos diretamente nos dispositivos, obtendo controle completo sobre os roteadores afetados.
A falha está presente em modelos fora de suporte, que não recebem mais atualizações de segurança da D-Link. Entre os dispositivos vulneráveis estão os modelos DSL‑526B, DSL‑2640B, DSL‑2740R e DSL‑2780B, todos considerados produtos legados. A D-Link confirmou que não lançará correções para esses equipamentos, recomendando sua substituição imediata por versões mais recentes e com suporte ativo. A exploração da falha foi detectada por pesquisadores após registros de ataques reais em honeypots monitorados pela Shadowserver Foundation. Desde o fim de 2025, o número de tentativas de exploração cresceu rapidamente, evidenciando que agentes maliciosos estão aproveitando a falha em campanhas de ataque em larga escala. Além do controle do dispositivo, os invasores podem alterar configurações críticas como os servidores DNS, redirecionando o tráfego da vítima para páginas falsas ou maliciosas.
Em ambientes corporativos, o comprometimento de um roteador pode permitir o acesso a redes internas inteiras. Pesquisadores alertam que, mesmo após a substituição do roteador, é essencial revisar configurações de rede e garantir que dispositivos conectados não tenham sido infectados durante o período de exposição. A D-Link publicou um aviso recomendando que usuários verifiquem o modelo e firmware de seus equipamentos, e orienta que qualquer dispositivo listado como EoL (fim de vida) seja removido do ambiente de rede o mais rápido possível. A situação evidencia os riscos de manter equipamentos antigos e desatualizados conectados à internet. Dispositivos fora de suporte continuam sendo alvos frequentes em ataques automatizados, pois combinam alto volume de uso com ausência de correções.
