CVE-2026-0625: 레거시 D-Link DSL 게이트웨이에서 패치가 불가능한 실제 인증되지 않은 명령 인젝션 문제

이 CVE가 CVSS 헤드라인을 넘어 중요한 이유

CVE-2026-0625는 OS 명령어 주입 이슈( CWE-78) 여러 레거시 D-Link DSL 게이트웨이 디바이스입니다. 취약한 표면은 디바이스의 임베디드 웹 관리 스택, 특히 dnscfg.cgi 엔드포인트가 DNS 구성에 사용됩니다. DNS 매개 변수가 적절하게 살균되지 않았기 때문에 인증되지 않은 공격자는 셸 메타문자를 삽입하여 다음과 같은 목적을 달성할 수 있습니다. 원격 코드 실행(RCE). CNA(VulnCheck)가 지정한 CVSS 9.3(중요) 점수. (NVD)

그러나 운영상의 영향은 단순히 "중요한 RCE"에 그치지 않습니다. 실제 사례는 다음과 같습니다. 라이프사이클 중력이러한 장치는 수명이 다했거나 지원이 종료된 장치이며, 공개 지침은 일관되게 다음과 같이 수렴됩니다. 은퇴 및 교체 패치보다. 다시 말해, 펌웨어 수정이 불가능한 경우가 많기 때문에 방어자는 네트워크 노출 감소, 세분화, DNS 무결성 모니터링과 같은 보완 제어 기능을 사용할 수밖에 없습니다. (supportannouncement.us.dlink.com)

영향을 받는(확인된) 사항과 아직 불확실한 사항

공개 보고는 영향을 받는 모델과 펌웨어 범위의 구체적이고 확인된 세트를 제공합니다. VulnCheck 및 다운스트림 적용 범위는 다음과 같습니다(불평등 범위에 유의하세요):

중요한 뉘앙스: D-Link는 모델 번호만으로는 영향을 받는 모델을 확인할 수 있는 신뢰할 수 있는 방법이 없습니다.취약한 CGI 라이브러리는 펌웨어 빌드에 따라 달라질 수 있으므로 확인이 필요할 수 있습니다. 직접 펌웨어 검사. (supportannouncement.us.dlink.com)

이는 엣지 디바이스 취약점 관리의 전형적인 함정입니다. 인벤토리 레이블이 항상 소프트웨어 계보에 깔끔하게 매핑되는 것은 아닙니다. 통신사, 지사 또는 "섀도 IT" 게이트웨이를 운영하는 경우, 달리 입증될 때까지는 깔끔한 4열 표보다 더 광범위하게 노출되어 있다고 가정하세요.

익스플로잇 컨텍스트: 공격자가 도달하는 방법 dnscfg.cgi 실제 환경에서

최상위 헤드라인의 지배적인 고CTR 문구는 본질적으로 합성어입니다: "제로데이/중요 RCE/수명 종료 라우터를 적극적으로 악용했습니다." 익스플로잇이 지금 일어나고 있고, 영향은 전체 코드 실행이며, 패치 가능성이 낮다는 세 가지 긴급한 신호를 한 줄로 압축하기 때문에 주요 보안 매체에서 동일한 후크가 반복되는 것을 볼 수 있습니다. (해커 뉴스)

방어자의 관점에서 실질적인 질문은 "악용이 가능한가?"가 아닙니다. (그렇다)가 아니라 "내 관리 비행기에 도달할 수 있나요?" 많은 소비자 DSL 게이트웨이는 기본적으로 관리 CGI 엔드포인트를 LAN에만 노출합니다. 많은 설정이 다음과 같은 관리 엔드포인트를 제한하기 때문에 BleepingComputer는 CVE-2026-0625를 악용하는 것은 브라우저 기반 경로 또는 원격 관리용으로 구성된 장치를 의미할 수 있다고 지적합니다. dnscfg.cgi 를 로컬 네트워크에 연결합니다. (컴퓨터)

하지만 엣지 디바이스 침해가 모든 시나리오에서 WAN 관리자를 활성화할 필요는 없습니다. 공격자가 피싱, 손상된 엔드포인트, 악성 확장 프로그램, 노출된 서비스 등 네트워크 내부에 거점을 확보하면 라우터의 웹 UI는 활용도가 높은 공격 대상이 됩니다. 그 이유는 다음과 같습니다. DNS 제어공격자가 게이트웨이에서 DNS 확인자를 변경할 수 있는 경우 모든 다운스트림 디바이스는 자동 트래픽 스티어링 프리미티브를 상속받습니다.

D-Link의 자체 기록에 따르면 이러한 종류의 행동은 다음과 같습니다. GhostDNS/DNSChanger 캠페인: 기본 자격 증명(예: 관리자/관리자)에 대한 비밀번호 추측, 다음과 같은 노출된 CGI 경로 검색 dnscfg.cgi를 클릭한 다음 DNS 값을 다시 작성하여 사용자를 공격자 인프라로 리디렉션합니다. (supportannouncement.us.dlink.com)

지금 해야 할 일: 버그를 무기화하지 않고 안전하게 인증하기

다음은 보안팀을 위한 방어 가능한 워크플로입니다. 다음 사항에 중점을 둡니다. 노출 식별 그리고 DNS 무결성 검사-익스플로잇 재생산이 아닙니다.

1단계: 잠재적인 관리 영역 노출 찾기

자산 검색부터 시작하세요:

• 일반 및 비일반 포트(80/443/8080/8443 등)에서 HTTP(S)를 노출하는 인터넷 연결 IP.
• 지사 및 '임시' 연결 설정(레거시 게이트웨이가 유지되는 장소).
• CPE 관리 엔드포인트(때때로 "모니터링" 또는 "관리자"로 잘못 레이블이 지정된)에 매핑되는 공용 DNS 레코드.

2단계: 다음 사항 확인 dnscfg.cgi 에 도달할 수 있습니다(페이로드 없음).

이 Python 스니펫은 간단한 도달 가능성 및 인증 경계 검사를 수행합니다.

가져오기 요청

def probe_dnscfg(base_url: str, timeout=6):
    url = base_url.rstrip("/") + "/dnscfg.cgi"
    try:
        r = requests.get(url, timeout=타임아웃, allow_redirects=False)
        반환 {
            "url": url,
            "status": r.status_code,
            "서버": r.headers.get("서버", ""),
            "www_authenticate": r.headers.get("WWW-Authenticate", ""),
            "location": r.headers.get("위치", ""),
        }
    요청.RequestException을 e로 제외합니다:
        반환 {"url": url, "error": str(e)}

targets = [
    "",
    # "",
]

대상의 t에 대해:
    print(probe_dnscfg(t))

통역 팁:

• 인증 없이 200 → 관리 영역이 위험하게 노출될 수 있습니다.
• 로그인하려면 401/302 → 자격 증명이 취약하거나 재사용되거나 기본값이 없는 경우 여전히 위험이 높습니다.
• 오류/시간 초과 → 필터링, 비 HTTP 서비스 또는 단순히 존재하지 않음을 나타낼 수 있습니다.

3단계: DNS 변경 사항을 주요 침해 지표로 취급하기

CVE-2026-0625는 DNS 구성 경로에 있기 때문에 "리졸버가 변경되었습니까?"가 가장 실용적인 탐지 질문입니다. D-Link는 DNSChanger 워크플로우를 라우터 DNS를 재작성하여 뱅킹 및 기타 고가치 트래픽을 리디렉션하는 것으로 명시적으로 설명합니다. (supportannouncement.us.dlink.com)

운영적으로:

• 승인된 기준선에 대해 라우터에 구성된 DNS 확인자의 유효성을 검사합니다.
• 샘플링된 클라이언트에서 DHCP 핸드 DNS 유효성 검사(Windows ipconfig /all, macOS scutil --dns).
• 특히 주거 지역이나 비정상적인 ASN에 대한 갑작스러운 리졸버 이동에 대해 경고합니다.

패치 적용이 불가능한 경우의 완화: 우선 순위가 지정된 플레이북

적용 범위 및 공급업체 메시지에서는 영향을 받는 모델이 레거시 모델이므로 교체해야 한다고 강조하고 있습니다. 패치가 릴리스되지 않습니다. 를 클릭하고 소유자에게 은퇴 및 교체를 권고합니다. (보안 주간)

실용적인 완화 사다리:

1) 교체(유일하게 깨끗한 최종 상태).

디바이스가 EOL/EOS인 경우, 현대화는 실제로 측정할 수 있는 위험 감소입니다.

2) 공격 표면을 축소합니다.

WAN 측 관리자를 비활성화하고, ISP 에지에서 관리 포트에 대한 인바운드 액세스를 차단하고, 강화된 관리 VLAN에 대한 관리자 액세스를 제한하세요.

3) 폭발 반경을 세분화합니다.

라우터 관리, 사용자 엔드포인트, IoT, 게스트 네트워크를 분리하세요. 내부 침해가 발생한다고 가정하고 모든 것을 DNS가 제어하지 않도록 설계하세요.

4) 자격 증명 위생.

기본 자격 증명과 취약한 비밀번호는 GhostDNS/DNSChanger 이야기에서 반복되는 주제입니다. (supportannouncement.us.dlink.com)

5) DNS 무결성 제어.

가능하면 승인된 리졸버를 적용하고 편차가 있는지 모니터링하세요. 레거시 게이트웨이가 손상된 경우에도 리졸버 드리프트가 발생하면 감지가 트리거되어야 합니다.

관련 CVE: 최적화해야 하는 광범위한 패턴

CVE-2026-0625는 반복되는 익스플로잇 템플릿에 부합합니다: 엣지 디바이스 + 웹 관리 + 인젝션/바이패스 + 자동화 친화적 스캐닝. 이러한 패턴이 바로 이러한 이슈가 봇넷의 관심을 끄는 이유이며 'EOL'이 그토록 골치 아픈 증식기인 이유입니다.

몇 가지 중요한 유사점이 있습니다:

• CVE-2023-1389(TP-Link Archer AX21): NVD는 웹 관리 인터페이스에서 인증되지 않은 명령 인젝션에 대해 설명하며, TP-Link는 Mirai 봇넷 무기고에 CVE가 추가되었다는 보고를 인정합니다. (NVD)
• CVE-2024-3400(팔로알토 네트웍스 PAN-OS 글로벌 프로텍트): PAN의 자문은 이를 특정 구성에 대한 루트 수준 코드 실행으로 이어지는 체인으로 구성하여 '엣지 RCE'가 소비자 경계에서 기업 경계로 넘어가는 방식을 설명합니다. (security.paloaltonetworks.com)
• CVE-2024-12987(드레이텍 바이거): Armis는 이를 라우터 웹 관리 핸들러의 중요한 OS 명령 인젝션이라고 설명합니다. (Armis)

취약점 우선순위 지정 루브릭을 구축하는 경우 이를 규칙으로 인코딩하는 것을 고려하세요: 엣지 디바이스의 관리 영역 취약점 우선 순위가 높아집니다.영향을 받는 제품이 "단지 몇 대의 라우터"일지라도 라우터가 제공하는 제어(DNS, 라우팅, NAT)가 다운스트림 손상을 증폭시키기 때문입니다.

펜리전트 워크플로: 자산 검색부터 증거 체인 보고까지

워크플로에 펜리전트가 포함된 경우, CVE-2026-0625가 강력한 후보입니다. 반복 가능한 노출-증거 파이프라인인터넷 연결이 가능한 관리 표면을 발견하고, 엣지 자산을 지문 및 상호 연관시키고, 관리 플레인에 도달할 수 있는 위치와 의심스러운 DNS 구성 동작이 존재하는지 여부를 보여주는 증거 체인 보고서를 생성합니다. 펜리젠트의 공개 포지셔닝과 문서는 엔드투엔드 워크플로 전반에 걸쳐 오케스트레이션된 테스트와 보고서 출력을 강조합니다. (펜리전트)

실제로 이 솔루션의 가치는 "원클릭 익스플로잇"이 아닙니다. 레거시 에지 디바이스의 지저분한 현실을 추적 가능한 문제 해결 프로그램(교체, 제한, 세그먼트)으로 전환하고, IT 소유자가 조치를 취할 수 있는 아티팩트로 뒷받침하는 운영적인 가치입니다.

권위 있는 참조 링크

• NVD: https://nvd.nist.gov/vuln/detail/CVE-2026-0625 (NVD)
• D-Link 자문(SAP10488): https://supportannouncement.us.dlink.com/security/publication.aspx?name=SAP10488 (supportannouncement.us.dlink.com)
• VulnCheck 자문: https://www.vulncheck.com/advisories/dlink-dsl-command-injection-via-dns-configuration-endpoint (VulnCheck)
• CWE-78: https://cwe.mitre.org/data/definitions/78.html (NVD)
• 컴퓨터 적용 범위(버전 + 라이프사이클 컨텍스트): https://www.bleepingcomputer.com/news/security/new-d-link-flaw-in-legacy-dsl-routers-actively-exploited-in-attacks/ (컴퓨터)