Cảnh báo lỗ hổng bảo mật nghiêm trọng trên bộ định tuyến DSL D-Link đời cũ

Công an TP. Hà Nội cho biết, lỗ hổng trên được gán mã CVE-2026-0625 (điểm CVSS: 9.3), nguyên nhân chính xuất phát từ việc dữ liệu đầu vào không được kiểm tra và lọc chặt chẽ, khiến các tham số cấu hình hệ thống phân giải tên miền (DNS) có thể bị lợi dụng để chèn lệnh “Shell” trực tiếp vào hệ thống. Nguy hiểm hơn là kẻ tấn công không cần đăng nhập, chỉ cần truy cập được vào thiết bị đầu cuối là có thể thực thi mã từ xa.

Theo cơ quan chức năng, những thiết bị bị ảnh hưởng đều đã ngừng hỗ trợ từ nhà sản xuất nhiều năm trước khiến người dùng không có khả năng vá lỗi hay bảo vệ hệ thống trước các cuộc tấn công. Thực tế cho thấy, các thiết bị bị ảnh hưởng hiện vẫn được nhiều cơ quan, tổ chức, cá nhân sử dụng. Đáng chú ý, kỹ thuật khai thác này được ghi nhận chưa từng được công bố công khai trước đó.

Các thiết bị chịu ảnh hưởng bao gồm: DSL-526B, DSL-2640B, DSL-2740R, DSL-2780B; các thiết bị này đều đã hết vòng đời từ năm 2020, đồng nghĩa với việc không còn bản vá, cập nhật bảo mật hay hỗ trợ kỹ thuật từ hãng sản xuất.

Theo Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an TP. Hà Nội, khi khai thác thành công, tin tặc có thể cho phép thực thi lệnh từ xa không cần xác thực. Bên cạnh đó, làm ảnh hưởng đến toàn bộ thiết bị mạng trong cùng hệ thống để cài mã độc (rất nguy hiểm với tổ chức); Không có bản vá chính thức do thiết bị đã hết vòng đời. Một thiết bị bị chiếm quyền có thể khiến toàn bộ thiết bị trong mạng nội bộ bị theo dõi, tấn công hoặc đánh cắp dữ liệu mà người dùng không hay biết. Đồng thời, biến thiết bị thành một phần của botnet.

Trước nguy cơ mất an toàn thông tin nghiêm trọng, Phòng An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao, Công an TP. Hà Nội khuyến cáo người sử dụng ngưng sử dụng và thay thế ngay các router D-Link đã hết vòng đời bằng thiết bị còn được hỗ trợ từ hãng sản xuất. Người dùng tuyệt đối không bật quản trị từ xa nếu không thực sự cần thiết và luôn sử dụng, cập nhật firmware mới nhất.