Kritische Sicherheitslücke in End-of-Life-Routern gefährdet Netzwerke

D-Link warnt vor der Nutzung veralteter DSL-Router. Das Cybersecurity-Unternehmen Vulncheck beobachtete im Dezember, dass diese über kompromittierte CGI-Bibliotheken ausgenutzt werden. Wie D-Link mitteilt, arbeitet das Unternehmen derzeit an der Identifizierung der betroffenen Produkte.

Vulncheck habe das Problem nach einer Beobachtung von Exploit-Aktivitäten in Live-Netzwerkumgebungen identifiziert. Es gebe noch keine zuverlässige Methode, um betroffene Geräte anhand der Modellnummer zu identifizieren, weshalb D-Link die Firmware-Builds auf älteren sowie auf unterstützten Plattformen überprüfe. Die Bestätigung sei nur über die direkte Überprüfung der Geräte-Firmware möglich.

Die Angriffe stehen laut dem Unternehmen in Zusammenhang mit GhostDNS. Das gross angelegte DNS-Hijacking-System für Datendiebstahl sei 2019 verwendet worden, um weltweit mehr als 100'000 Router anzugreifen. Darunter waren auch Router von D-Link, wie es weiter heisst. Netlab, das den Vorfall untersuchte, hätte auch die Malware DNSChanger dokumentiert, welche auf Konfigurationsoberflächen von Routern ausgerichtet sei. Dabei würden Standard-Anmeldedaten erraten oder die Authentifizierung über exponierte CGI-Endpunkte wie dnscfg.cgi umgangen. In Reaktion darauf habe D-Link 2019 Sicherheitshinweise und Firmware-Updates veröffentlicht, um die Probleme zu beheben.

Die neue Schwachstelle CVE-2026-0625 bezieht sich auf die gleiche allgemeine Angriffsfamilie wie GhostDNS und DNSChanger, wie D-Link schreibt. Viele der betroffenen Produkte seien End-of-Life-Produkte, die bereits seit Jahren nicht mehr erhältlich seien und keinen Support von D-Link mehr erhielten. Das Unternehmen empfiehlt daher, veraltete Produkte aus dem Verkehr zu ziehen und durch unterstützte Produkte zu ersetzen.

Wer auf eigenes Risiko solche Geräte weiter verwenden möchte, soll laut D-Link die Netzwerksicherheit und den Firmware-Status überprüfen sowie geeignete Massnahmen ergreifen. Um die letzten bekannten Assets vor End-of-Life/End-of-Service herauszufinden, soll man sich an die regionale Niederlassung von D-Link wenden.

Die Sicherheitslücke CVE-2026-0625 führt laut Mitteilung dazu, dass nicht authentifizierte Angreifer aus der Ferne Shell-Befehle einfügen und ausführen können. Eine ausführliche Liste der betroffenen Geräte ist in der Mitteilung von D-Link zu finden.

Auch alte Zyxel-Router wurden bereits zum Cyberrisiko. Im Februar 2025 warnte Zyxel vor bösartigen Hackern, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.