Router D-Link đời cũ trở thành “cửa ngõ” cho tin tặc tấn công từ xa

[WhiteHat Team]

Các chuyên gia an ninh mạng phát hiện tin tặc đang khai thác một lỗ hổng trên nhiều mẫu router D-Link đời cũ, cho phép thực thi lệnh từ xa mà không cần xác thực. Đáng chú ý, những thiết bị bị ảnh hưởng đều đã ngừng được hỗ trợ từ nhiều năm trước, khiến người dùng gần như không còn khả năng vá lỗi hay bảo vệ hệ thống trước các cuộc tấn công.
​

​

Lỗ hổng được gán mã CVE-2026-0625, thuộc nhóm command injection. Nguyên nhân cốt lõi xuất phát từ việc dữ liệu đầu vào không được kiểm tra và lọc chặt chẽ, khiến các tham số cấu hình DNS có thể bị lợi dụng để chèn lệnh shell trực tiếp vào hệ thống. Vấn đề nằm trong "endpoint dnscfg.cgi" - một thành phần CGI dùng để cấu hình DNS trên các router D-Link DSL.

Điều nguy hiểm hơn là kẻ tấn công không cần đăng nhập. Chỉ cần truy cập được vào endpoint này, chúng đã có thể thực thi mã từ xa. Đáng chú ý, kỹ thuật khai thác được ghi nhận chưa từng được công bố công khai trước đó, cho thấy khả năng đây là một chiến dịch tấn công âm thầm hoặc đang trong giai đoạn thử nghiệm.​

Những thiết bị nào bị ảnh hưởng?​

D-Link xác nhận các mẫu router sau chịu ảnh hưởng:​

• DSL-526B (≤ 2.01)​
• DSL-2640B (≤ 1.07)​
• DSL-2740R (< 1.17)​
• DSL-2780B (≤ 1.01.14)​

Tất cả các thiết bị này đều đã End-of-Life (EoL) từ năm 2020, đồng nghĩa với việc không còn bản vá, cập nhật bảo mật hay hỗ trợ kỹ thuật.​

Tin tặc khai thác lỗ hổng như thế nào?​

Thông thường, các endpoint CGI như "dnscfg.cgi" chỉ cho phép truy cập từ mạng nội bộ (LAN). Vì vậy, để khai thác CVE-2026-0625, kẻ tấn công cần:​

• Lừa người dùng truy cập trang web độc hại (tấn công qua trình duyệt) hoặc​
• Router được cấu hình cho phép quản trị từ xa qua Internet.​

Khi thành công, tin tặc có thể:​

• Chạy lệnh hệ thống tùy ý,​
• Cài mã độc,​
• Biến router thành một phần của botnet,​
• Theo dõi hoặc chuyển hướng lưu lượng mạng của người dùng.​

Mức độ nguy hiểm và hậu quả​

Lỗ hổng này đặc biệt nguy hiểm vì:​

• Cho phép RCE không cần xác thực,​
• Ảnh hưởng đến toàn bộ thiết bị mạng trong cùng hệ thống (cực kỳ nguy hiểm với tổ chức)​
• Không có bản vá chính thức do thiết bị đã hết vòng đời.​

Một router bị chiếm quyền có thể khiến toàn bộ thiết bị trong mạng nội bộ bị theo dõi, tấn công hoặc đánh cắp dữ liệu mà người dùng không hề hay biết.​

Người dùng cần làm gì?​

D-Link và các chuyên gia an ninh mạng khuyến cáo:​

• Ngừng sử dụng và thay thế ngay các router D-Link đã EoL bằng thiết bị còn được hỗ trợ​
• Không bật quản trị từ xa nếu không thực sự cần thiết​
• Nếu buộc phải dùng tạm, chỉ triển khai trong mạng không quan trọng, có phân vùng (network segmentation)​
• Luôn sử dụng firmware mới nhất có thể, dù không còn được cập nhật​

D-Link cũng cảnh báo rõ ràng rằng các thiết bị EoL sẽ không bao giờ được vá lỗi, đồng nghĩa với việc mọi rủi ro bảo mật sẽ tồn tại vĩnh viễn. Vụ việc cho thấy nguy cơ tiềm ẩn từ các thiết bị mạng cũ mà nhiều người vẫn sử dụng hàng ngày. Khi thiết bị này lỗi thời và tồn tại lỗ hổng nghiêm trọng, mọi dữ liệu phía sau đều có thể bị đặt vào tầm ngắm của tin tặc.​

WhiteHat​