Pesquisadores de cibersegurança identificaram uma vulnerabilidade grave em roteadores DSL da D-Link que já estão fora de linha. Registrada como CVE-2026-0625 e com pontuação de severidade 9,3, a falha permite que atacantes executem comandos remotamente no dispositivo, sem necessidade de autenticação, senha ou qualquer interação do usuário.
O problema está em um ponto específico do firmware: o endpoint dnscfg.cgi, responsável pela configuração de DNS. Esse componente não valida corretamente os dados recebidos, abrindo espaço para ataques de injeção de comando. Na prática, um invasor pode enviar requisições maliciosas pela internet e assumir o controle total do roteador. Segundo a VulnCheck, isso possibilita a execução remota de código de forma totalmente não autenticada.
Exploração ativa e histórico de ataques
Dados da Shadowserver Foundation indicam que tentativas de exploração começaram a ser detectadas em 27 de novembro de 2025. Pouco depois, em dezembro, a VulnCheck notificou oficialmente a D-Link, que iniciou uma investigação para entender o uso dessa biblioteca CGI em seus produtos, tanto atuais quanto legados.
O alerta não é novo. Entre 2016 e 2019, a mesma falha já havia sido explorada em campanhas massivas de sequestro de DNS, afetando pelo menos quatro modelos de roteadores DSL da marca. Ou seja, trata-se de um vetor de ataque conhecido, agora reaproveitado em um cenário ainda mais crítico por envolver equipamentos sem suporte.
Dificuldade para mapear os modelos afetados
A D-Link afirma que identificar exatamente quais modelos são vulneráveis não é simples. Muitos desses roteadores foram descontinuados há mais de cinco anos e possuem variações significativas de firmware entre gerações. Segundo a empresa, não existe um método confiável de identificação apenas pelo número do modelo, sendo necessária a inspeção direta do firmware.
A fabricante informou que está validando compilações em plataformas legadas e deve divulgar, em breve, uma lista oficial dos dispositivos afetados. Até lá, o cenário segue nebuloso, tanto em relação ao número de equipamentos vulneráveis quanto à escala real dos ataques em andamento.
Por que essa falha é tão perigosa
O impacto vai muito além do roteador em si. Ao comprometer as configurações de DNS, o atacante pode redirecionar todo o tráfego de internet da rede para servidores maliciosos. Isso permite interceptar dados, aplicar golpes de phishing, bloquear acessos ou redirecionar usuários para páginas falsas, tudo de forma silenciosa e persistente.
Além disso, roteadores comprometidos podem ser usados como parte de botnets para ataques DDoS, atuar como proxies para mascarar atividades criminosas ou servir como porta de entrada para invasões em outros dispositivos da rede, sejam eles domésticos ou corporativos.
A Field Effect alerta que, como esses modelos estão em fim de vida útil e não receberão correções, qualquer ambiente que ainda os utilize enfrenta um risco operacional elevado.
O que fazer agora
Diante desse cenário, a recomendação é direta: retirar esses roteadores de operação o quanto antes. Como não há patches de segurança disponíveis, a única mitigação eficaz é a substituição por dispositivos que ainda recebam atualizações regulares de firmware e segurança.
Manter equipamentos legados conectados à internet hoje não é apenas um risco técnico, mas uma aposta perigosa contra um ecossistema de ameaças cada vez mais automatizado e agressivo. Em 2026, roteador descontinuado virou porta aberta.
