Eski D-Link DSL Modellerinde CVE-2026-0625 RCE Açığı ve Aktif Sömürüler

Anasayfa » Eski D-Link DSL Modellerinde CVE-2026-0625 RCE Açığı ve Aktif Sömürüler
Ağ Güvenliği, APT, Zafiyetler
Ocak 8, 2026Ocak 8, 2026Tarafından Cybernews.TR
0
Eski D-Link DSL Modellerinde CVE-2026-0625 RCE Açığı ve Aktif Sömürüler

Eski D-Link DSL yönlendiricilerinde bulunan CVE-2026-0625 kodlu kritik bir güvenlik açığı, kimlik doğrulaması olmadan uzaktan kod yürütülmesine izin veriyor. Bu zafiyet, “dnscfg.cgi” uç noktasında kullanıcı tarafından sağlanan DNS yapılandırma parametrelerinin yeterince temizlenmemesinden kaynaklanıyor. Son raporlara göre, bu açığı hedef alan aktif sömürü kampanyaları 2025 sonlarında tespit edildi.

Saldırının Genel Çerçevesi

Kimlik doğrulaması gerektirmeyen bu RCE açığı, saldırganların rastgele kabuk komutları enjekte edip çalıştırmasına olanak sağlıyor. Böylece DNS ayarları üzerinde tam kontrol elde edilebiliyor. Bu durum, ağ trafiğinin sessizce yönlendirilmesi, engellenmesi veya yakalanması gibi kalıcı ihlallere sebep olabiliyor. Zafiyet, D-Link’in 2016-2019 arasında piyasaya sürdüğü DSL-2740R, DSL-2640B, DSL-2780B ve DSL-526B modellerini etkiliyor.

Hangi Sistemler Risk Altında?

Etkin sömürü kampanyaları Shadowserver Foundation tarafından 27 Kasım 2025’te kaydedildi. Etkilenen cihazların çoğu 2020 başından itibaren kullanım ömrünü tamamlamış durumda. Firmware sürümleri ise şu şekilde sınıflandırılıyor:

  • DSL-2640B: 1.07 ve altı
  • DSL-2740R: 1.17 altı
  • DSL-2780B: 1.01.14 ve altı
  • DSL-526B: 2.01 ve altı

D-Link, zafiyetin aktif sömürüsü hakkında 16 Aralık 2025’te bilgilendirildikten sonra kapsamlı bir iç soruşturma başlattı. Firmware varyantlarındaki farklılıklar nedeniyle etkilenen modellerin kesin tespiti karmaşık bir süreç olarak değerlendiriliyor.

Saldırı Zinciri ve Teknik Detaylar

Bu RCE açığı, MITRE ATT&CK tekniklerinden T1203 - Exploitation for Client Execution ve T1071 - Application Layer Protocol ile ilişkilendirilebilir. Saldırı zinciri genel olarak şu adımlardan oluşuyor:

  1. Hedef yönlendiricinin “dnscfg.cgi” uç noktasına kimlik doğrulaması olmadan erişim sağlanması.
  2. DNS yapılandırma parametrelerine zararlı kabuk komutlarının enjeksiyonu.
  3. Komutların çalıştırılmasıyla cihaz üzerinde tam kontrolün ele geçirilmesi ve DNS ayarlarının değiştirilmesi.

Bu süreçte saldırganlar, hedef ağdaki tüm cihazların trafiğini manipüle edebiliyor. Özellikle DNS kaçırma saldırılarında kullanılan yöntemlerin benzeri görülüyor.

Sistem Yöneticileri İçin Pratik Öneriler

  • Etkin firmware sürümlerini belirlemek için cihazlar üzerinde kapsamlı envanter çalışması yapın.
  • Desteklenmeyen ve EoL (End of Life) cihazları derhal aktif destekli modellerle değiştirin.
  • Yönlendirici erişim loglarını düzenli olarak inceleyin ve anormal dnscfg.cgi çağrılarını tespit edin.
  • EDR ve SIEM sistemlerinde dnscfg.cgi uç noktasına yönelik olağandışı aktiviteler için uyarı kuralları oluşturun.
  • Ağ segmentasyonu uygulayarak kritik altyapı ile kullanıcı cihazları arasındaki trafiği sınırlandırın.
  • DNS yapılandırmalarında değişiklik yapılmadan önce çok faktörlü kimlik doğrulama (MFA) uygulayın.
  • Olay müdahale (incident response) planlarını güncelleyerek bu tür RCE saldırılarına karşı hazırlıklı olun.
  • Bulut güvenliği çözümleri ile ağ trafiğini izleyip DNS tabanlı saldırıları erken tespit edin.

Kurumsal Ortamlarda Olası Senaryo

Örneğin bir finans kurumunda, eski D-Link DSL yönlendiriciler kullanılıyorsa, saldırganlar DNS ayarlarını değiştirerek kullanıcıları sahte bankacılık sitelerine yönlendirebilir. Bu durum, kimlik avı ve veri hırsızlığı riskini artırır. Ayrıca, ağ segmentasyonu ve e-posta güvenliği önlemleri yetersizse, fidye yazılımı gibi daha karmaşık saldırılar için zemin hazırlanabilir.

, , , , , , ,