En alvorlig sikkerhetssvakhet i eldre D-Link DSL-rutere blir nå aktivt utnyttet i pågående angrep
Feilen gjør det mulig for angripere å ta full kontroll over ruteren uten innlogging, og eksperter advarer om stor risiko for brukere som fortsatt har disse enhetene i drift, melder The Hacker News.
En nyoppdaget sikkerhetsfeil i eldre DSL-rutere fra D-Link blir nå brukt i faktiske angrep, ifølge sikkerhetsselskaper. Feilen gir angripere mulighet til å kjøre egne kommandoer på ruteren og endre nettinnstillingene uten at eieren merker det.
Svakheten er registrert som CVE-2026-0625 og gjelder flere rutermodeller som ble solgt mellom 2016 og 2019. Flere av disse produktene har vært ute av ordinær støtte i flere år.
– En angriper uten innlogging kan legge inn og kjøre vilkårlige kommandoer, noe som gir full tilgang til systemet, skriver sikkerhetsselskapet VulnCheck i en advarsel.
Kan endre DNS-innstillinger i det skjulte
Ifølge VulnCheck utnyttes feilen gjennom en funksjon som styrer ruternes DNS-oppsett. Ved å sende spesialtilpassede forespørsler kan angripere endre hvordan nettrafikken rutes.
– Dette gjør det mulig å kapre DNS-innstillinger uten passord og uten brukerinteraksjon, heter det i analysen.
Når DNS-adressene først er endret, kan trafikk omdirigeres, overvåkes eller blokkeres. Det kan ramme alle enheter som er koblet til ruteren, som PC-er, mobiler og smarthusløsninger.
Les også: De østeuropeiske cyberkrigerne som utfordrer autoritære regimer
Sikkerhetsorganisasjonen Shadowserver Foundation registrerte angrep som utnyttet svakheten allerede 27. november 2025.
Flere modeller rammet
Ifølge D-Link og eksterne sikkerhetsmiljøer gjelder feilen blant annet modellene DSL-2640B, DSL-2740R, DSL-2780B og DSL-526B, i bestemte fastvareversjoner. Alle disse modellene har nådd såkalt «end of life», og mottar ikke lenger sikkerhetsoppdateringer.
D-Link bekrefter at selskapet ble varslet om aktiv utnyttelse 16. desember 2025 og at en intern gjennomgang er i gang.
– Det finnes foreløpig ingen pålitelig måte å fastslå berørte modeller uten direkte inspeksjon av fastvaren, opplyser selskapet.
En oppdatert liste over rammede produkter er ventet publisert senere denne uken.
Klar anbefaling: Bytt ut ruteren
Hvem som står bak angrepene, og hvor omfattende de er, er foreløpig uklart. Likevel er rådet fra sikkerhetseksperter tydelig.
– Siden disse rutermodellene ikke kan sikres med oppdateringer, innebærer videre bruk en forhøyet risiko, advarer sikkerhetsselskapet Field Effect.
– Når angripere får kontroll over DNS-oppsettet, kan kompromitteringen bli varig og ramme alt som er koblet til nettverket.
Ekspertene anbefaler derfor at brukere som fortsatt har disse ruterne i drift, snarest erstatter dem med nyere modeller som mottar jevnlige sikkerhetsoppdateringer.
