ثغرة خطيرة في راوترات دي-لينك: هجمات نشطة الآن

كشفت تقارير أمنية حديثة عن ثغرة حرجة في راوترات دي-لينك القديمة تتعرض لهجمات نشطة حالياً. الثغرة التي تحمل الرمز CVE-2026-0625 حصلت على تقييم خطورة عالي بلغ 9.3 من 10، مما يجعلها تهديداً خطيراً لمستخدمي هذه الأجهزة.

ما هي تفاصيل ثغرة CVE-2026-0625؟

تتعلق الثغرة بحقن أوامر في نقطة النهاية "dnscfg.cgi" في راوترات دي-لينك DSL القديمة. المشكلة تنشأ بسبب عدمproper sanitization لمعاملات إعدادات DNS التي يقدمها المستخدم.

وفقاً لتحليلات تيكبامين، يمكن لمهاجم غير مصادق عن بعد حقن وتنفيذ أوامر shell عشوائية، مما يؤدي إلى تنفيذ تعليمات برمجية عن بعد. هذا يعني أن المهاجمين يمكنهم السيطرة الكاملة على الراوتر دون الحاجة إلى أي بيانات اعتماد.

ما هي الأجهزة المتأثرة؟

تشير التقارير إلى أن حملات استغلال نشطة تستهدف نماذج محددة من راوترات دي-لينك DSL. النماذج المعروفة المتأثرة تشمل:

• DSL-2740R
• DSL-2640B
• DSL-2780B
• DSL-526B

حسب تيكبامين، تم توثيق محاولات استغلال نشطة لهذه الثغرة من قبل مؤسسة Shadowserver في 27 نوفمبر 2025. المشكلة الأكبر أن بعض هذه الأجهزة وصلت إلى نهاية عمرها الافتراضي (EoL) منذ بداية عام 2020.

لماذا يصعب تحديد النماذج المتأثرة؟

أكدت دي-لينك أنها واجهت صعوبات في تحديد النماذج المتأثرة بدقة بسبب اختلافات في تنفيذات البرامج الثابتة عبر أجيال المنتجات المختلفة. الشركة ذكرت أنه:

• لا توجد طريقة موثوقة لكشف رقم النموذج خارج فحص البرامج الثابتة مباشرة
• تتم مراجعة builds البرامج الثابتة عبر المنصات القديمة والمدعومة
• قائمة محدثة بالنماذج المتأثرة ستنشر لاحقاً هذا الأسبوع

كيف تحمي نفسك من هذه الهجمات؟

نظراً لأن الثغرة تؤثر على منتجات DSL التي تم إيقافها ولا تتلقى تحديثات أمنية، فإن الخيار الوحيد الآمن هو استبدال هذه الأجهزة.

تنصح تيكبامين مستخدمي هذه الراوترات باتخاذ الإجراءات التالية:

• التوقف فوراً عن استخدام راوترات دي-لينك DSL المتأثرة
• الترقية إلى أجهزة مدعومة تتلقى تحديثات أمنية منتظمة
• فحص إعدادات DNS للتأكد من عدم تغييرها بشكل مشبوه
• مراقبة نشاط الشبكة بحثاً عن أنشطة غير عادية

ماذا يحدث عند استغلال الثغرة؟

توضح تقارير Field Effect أن CVE-2026-0625 تستغل نفس آلية تكوين DNS التي استخدمت في حملات اختطاف DNS واسعة النطاق سابقاً. بعد استغلال الثغرة، يمكن للمهاجمين:

• تغيير إعدادات DNS دون تفويض
• إعادة توجيه حركة المرور بشكل صامت
• اعتراض البيانات الحساسة
• حظر المواقع والخدمات

الأخطر أن هذا الاختراق يؤثر على كل الأجهزة المتصلة بالراوتر، وليس الراوتر نفسه فقط.

ما هو المستقبل لهذه الثغرة؟

في الوقت الحالي، لا توجد معلومات عن هوية المهاجمين أو حجم حملات الاستغلال. ومع ذلك، نظراً لأن الأجهزة المتأثرة قديمة ولا يمكن تصحيحها، فإن الخطر سيستمر طالما بقيت هذه الراوترات قيد التشغيل.

كما ذكر تيكبامين، فإن الحل الوحيد الفعال هو التخلص من هذه الأجهزة القديمة والانتقال إلى منتجات حديثة مدعومة. استمرار استخدام هذه الراوترات يعرض الشبكة بأكملها لخطر مستمر لا يمكن إصلاحه.