CVE-2026-0625: מציאות בלתי ניתנת לתיקון — הזרקת פקודות לא מאומתת בשערי D-Link DSL ישנים

מדוע CVE זה חשוב מעבר לכותרת CVSS

CVE-2026-0625 הוא הזרקת פקודות OS בעיה (המותאמת ל CWE-78) המשפיע על מספר רב שער D-Link DSL ישן מכשירים. המשטח הפגיע הוא מערך ניהול האינטרנט המוטמע במכשיר, ובפרט ה- dnscfg.cgi נקודת קצה המשמשת לתצורת DNS. מכיוון שפרמטרי DNS אינם מטוהרים כראוי, תוקף לא מאומת יכול להזריק תווים מיוחדים של מעטפת ולהשיג הפעלת קוד מרחוק (RCE). ה-CNA (VulnCheck) הקצה CVSS 9.3 (קריטי) ציון. (NVD)

אך ההשפעה התפעולית אינה רק "RCE קריטי". הסיפור האמיתי הוא כוח המשיכה של מחזור החיים: מכשירים אלה הגיעו לסוף חיי המוצר/סוף התמיכה, וההנחיות הציבוריות מתכנסות באופן עקבי על לפרוש ולהחליף במקום תיקון. במילים אחרות, המגנים נאלצים לנקוט באמצעי בקרה מפצים — הפחתת חשיפת הרשת, פילוח וניטור תקינות ה-DNS — מכיוון שלעתים קרובות לא ניתן לבצע תיקון קושחה. (supportannouncement.us.dlink.com)

CVE-2026-0625 הזרקת פקודה לא מאומתת בשערי DSL ישנים של D-Link

מה הושפע (אושר) ומה נותר לא ברור

הדיווח הציבורי מספק רשימה קונקרטית ומאושרת של דגמים וטווחי קושחה מושפעים. VulnCheck והכיסוי במורד הזרם מפרטים את הדברים הבאים (שימו לב לטווחי אי-השוויון):

מודל	טווח הקושחה הפגיע שאושר	הערות
DSL-526B	≤ 2.01	Legacy/EOL, RCE לא מאושר באמצעות `dnscfg.cgi` (VulnCheck)
DSL-2640B	≤ 1.07	Legacy/EOL, RCE לא מאושר באמצעות `dnscfg.cgi` (VulnCheck)
DSL-2740R	< 1.17	Legacy/EOL, RCE לא מאושר באמצעות `dnscfg.cgi` (VulnCheck)
DSL-2780B	≤ 1.01.14	Legacy/EOL, RCE לא מאושר באמצעות `dnscfg.cgi` (VulnCheck)

הניואנס החשוב: D-Link מצהירה שיש אין דרך אמינה לקבוע אילו דגמים נפגעו על סמך מספר הדגם בלבד., מכיוון שספריית CGI הפגיעה יכולה להשתנות בין גרסאות קושחה שונות; האימות עשוי לדרוש בדיקת קושחה ישירה. (supportannouncement.us.dlink.com)

זוהי מלכודת קלאסית בניהול פגיעות במכשירים קצה: תוויות המלאי לא תמיד מתאימות באופן מדויק לשושלת התוכנה. אם אתם מפעילים ספקים, סניפים או שערי "IT צללים", הנחו שהחשיפה שלכם רחבה יותר מהטבלה המסודרת בת ארבע השורות, עד שיוכח אחרת.

הקשר הניצול: כיצד התוקפים מגיעים `dnscfg.cgi` בסביבות אמיתיות

הביטוי בעל ה-CTR הגבוה ביותר בכותרות המובילות הוא למעשה ביטוי מורכב: "ניצול פעיל של אפס יום / RCE קריטי / נתבים בסוף חיי המוצר." תראו את אותו הטיעון חוזר על עצמו בכל אמצעי התקשורת העיקריים העוסקים באבטחה, מכיוון שהוא דוחס שלושה סימני דחיפות לשורה אחת: הניצול מתרחש כעת, ההשפעה היא ביצוע קוד מלא, וסיכויי התיקון נמוכים. (חדשות ההאקרים)

מנקודת המבט של המגן, השאלה המעשית היא לא "האם ניתן לנצל זאת?" (כן, ניתן), אלא "האם ניתן להגיע למטוס הניהול שלי?" שער DSL צרכני רבים חושפים נקודות קצה CGI ניהוליות רק ברשת LAN כברירת מחדל. BleepingComputer מציין כי ניצול CVE-2026-0625 עשוי להעיד על נתיב מבוסס דפדפן או על מכשיר המוגדר לניהול מרחוק, שכן הגדרות רבות מגבילות נקודות קצה ניהוליות כגון dnscfg.cgi לרשתות מקומיות. (BleepingComputer)

עם זאת, פגיעה במכשיר קצה אינה מחייבת הפעלת מנהל WAN בכל תרחיש. ברגע שתוקף מצליח לחדור לרשת (באמצעות פישינג, נקודת קצה שנפרצה, תוסף זדוני או שירות חשוף), ממשק המשתמש האינטרנטי של הנתב הופך ליעד בעל ערך רב. הסיבה לכך היא בקרת DNS: אם תוקף יכול לשנות את מפתחי ה-DNS בשער, כל מכשיר במורד הזרם יורש פרימיטיב שקט לניתוב תעבורה.

התיעוד ההיסטורי של D-Link קושר התנהגות מסוג זה ל GhostDNS/DNSChanger קמפיינים: ניחוש סיסמאות כנגד אישורי ברירת מחדל (למשל, admin/admin), סריקה אחר נתיבי CGI חשופים כגון dnscfg.cgi, ולאחר מכן לשכתב את ערכי ה-DNS כדי להפנות את המשתמשים לתשתית התוקף. (supportannouncement.us.dlink.com)

CVE-2026-0625: מציאות בלתי ניתנת לתיקון — הזרקת פקודות לא מאומתת בשערי D-Link DSL ישנים

מה לעשות היום: אימות בטוח ללא שימוש בבאג כנשק

להלן זרימת עבודה מומלצת לצוותי אבטחה. היא מתמקדת ב: זיהוי חשיפה ו בדיקות תקינות DNS—לא לנצל את הרבייה.

שלב 1: מצא את החשיפה הפוטנציאלית שלך למישור הניהול

התחל עם גילוי נכסים:

כתובות IP הפונות לאינטרנט וחושפות HTTP(S) ביציאות נפוצות ובלתי נפוצות (80/443/8080/8443 וכו').
סניפים ומערך קישוריות "זמני" (המקומות שבהם עדיין קיימים שערים ישנים).
רשומות DNS ציבוריות המפותחות לנקודות קצה של ניהול CPE (לעיתים מסומנות בטעות כ"ניטור" או "ניהול").

שלב 2: בדוק אם `dnscfg.cgi` ניתן להגיע אליו (ללא מטענים)

קטע קוד זה ב-Python מבצע בדיקה פשוטה של נגישות וגבולות אימות.

import requests def probe_dnscfg(base_url: str, timeout=6): url = base_url.rstrip("/") + "/dnscfg.cgi" try: r = requests.get(url, timeout=timeout, allow_redirects=False)
        return { "url": url, "status": r.status_code, "server": r.headers.get("Server", ""), "www_authenticate": r.headers.get("WWW-Authenticate", ""),
            "location": r.headers.get("Location", ""), } except requests.RequestException as e: return {"url": url, "error": str(e)}

יעדים = [ "", # "", ] עבור t ביעדים: הדפס(probe_dnscfg(t))

טיפים לפרשנות:

200 ללא אימות → מישור הניהול שלך עלול להיות חשוף לסכנה.
401/302 כדי להתחבר → עדיין קיים סיכון גבוה אם פרטי הזדהות חלשים, משמשים לשימוש חוזר או ברירת מחדל.
שגיאות/פסק זמן → עשויות להצביע על סינון, שירות שאינו HTTP, או פשוט על היעדרות.

שלב 3: התייחסו לשינויים ב-DNS כאל אינדיקטור עיקרי לפריצה

מכיוון ש-CVE-2026-0625 נמצא בנתיב תצורת ה-DNS, השאלה המעשית ביותר לזיהוי היא "האם הממירים שלי השתנו?". D-Link מתארת במפורש את תהליכי העבודה של DNSChanger ככתיבה מחדש של ה-DNS של הנתב כדי להפנות תנועה בנקאית ותנועה אחרת בעלת ערך גבוה. (supportannouncement.us.dlink.com)

מבחינה תפעולית:

אמת את פתרונות ה-DNS שהוגדרו בנתב מול בסיס הייחוס המאושר שלך.
אמת DNS שהועבר על ידי DHCP בלקוחות מדגמיים (Windows) ipconfig /all, macOS scutil --dns).
התראה על שינויים פתאומיים ברזולבר, במיוחד לטווחים מגורים או ASN יוצאי דופן.

נסה את One Click PoC בחינם >>

הקלה כאשר תיקון אינו אפשרי: תוכנית פעולה לפי סדר עדיפויות

הסיקור והתקשורת של הספקים מדגישים כי הדגמים המושפעים הם דגמים ישנים ויש להחליפם; SecurityWeek מציין במפורש כי לא ייצא תיקון וממליץ לבעלים להוציא את המוצר משימוש ולהחליפו. (שבוע האבטחה)

סולם הפחתה פרגמטי:

1) החלף (המצב הסופי הנקי היחיד).

אם המכשיר הוא EOL/EOS, מודרניזציה היא הפחתת סיכונים שניתן למדוד בפועל.

2) צמצמו את שטח ההתקפה.

השבת את הניהול בצד ה-WAN, חסום גישה נכנסת ליציאות הניהול בקצה ה-ISP והגבל את גישת הניהול ל-VLAN ניהול מחוזק.

3) רדיוס פיצוץ המגזר.

הפרד בין ניהול הנתב, נקודות הקצה של המשתמשים, IoT ורשתות האורחים. הנח שקיימת פגיעה פנימית; תכנן כך שלא תהיה שליטה של DNS על הכל.

4) היגיינת אישורים.

אישורי ברירת מחדל וסיסמאות חלשות נותרים נושא חוזר ונשנה בסיפורי GhostDNS/DNSChanger. (supportannouncement.us.dlink.com)

5) בקרות תקינות DNS.

במידת האפשר, אכוף פתרונות מאושרים ופקח על סטיות. גם אם שער כניסה ישן נפגע, הזיהוי שלך צריך להפעיל התראה על סטייה בפתרון.

CVE קשורים: הדפוס הרחב יותר שעליכם לייעל עבורו

CVE-2026-0625 מתאים לתבנית ניצול חוזרת: התקן קצה + ניהול אינטרנט + הזרקה/עקיפה + סריקה ידידותית לאוטומציה. דפוס זה הוא הסיבה לכך שנושאים אלה זוכים לתשומת לב מצד רשתות הבוטים, ושה"EOL" מהווה גורם מכפיל כה כואב.

כמה קווי דמיון בולטים:

CVE-2023-1389 (TP-Link Archer AX21): NVD מתאר הזרקת פקודה לא מאומתת בממשק הניהול האינטרנטי, ו-TP-Link מאשרת דיווחים על הוספת ה-CVE לארסנל הבוטנט Mirai. (NVD)
CVE-2024-3400 (Palo Alto Networks PAN-OS GlobalProtect): ההמלצה של PAN מתארת זאת כשרשרת המובילה לביצוע קוד ברמת השורש עבור תצורות ספציפיות — וממחישה כיצד "RCE בקצה" חוצה את הגבול בין הצרכן לתחום הארגוני. (security.paloaltonetworks.com)
CVE-2024-12987 (DrayTek Vigor): Armis מתארת זאת כהזרקת פקודה קריטית למערכת ההפעלה במנהל ניהול האינטרנט של הנתב. (ארמיס)

אם אתם בונים טבלה לדירוג פגיעות, שקלו לקודד זאת ככלל: פגיעויות במישור הניהול במכשירים קצה זוכות לעדיפות גבוהה, גם כאשר המוצרים המושפעים הם "רק כמה נתבים", מכיוון שהשליטה שהם מספקים (DNS, ניתוב, NAT) מגבירה את הפגיעה במורד הזרם.

זרימת עבודה קפדנית: מגילוי נכסים ועד דיווח על שרשרת ראיות

אם זרימת העבודה שלך כוללת Penligent, CVE-2026-0625 הוא מועמד חזק ל תהליך חשיפה חוזר ונשנה לראיות: גלה משטחי ניהול נגישים באינטרנט, טביעת אצבע וקשור נכסי קצה, והפק דוח שרשרת ראיות המציג היכן ניתן להגיע למישורי הניהול והאם קיימת התנהגות חשודה בתצורת ה-DNS. המיקום והתיעוד הציבוריים של Penligent מדגישים בדיקות מתוזמרות ותפוקת דוחות בכל זרימות העבודה מקצה לקצה. (Penligent)

בפועל, הערך אינו "ניצול בלחיצה אחת". הוא תפעולי: הפיכת המציאות המבולגנת של מכשירי קצה ישנים לתוכנית תיקון ניתנת למעקב (החלפה, הגבלת גישה, פילוח), הנתמכת על ידי ממצאים שבעלי ה-IT שלכם יכולים לפעול על פיהם.