Netcrook Logo
👤 KERNELWATCHER
🗓️ 08 Jan 2026   🌍 Asia

Fantômes dans la passerelle : des attaquants détournent d’anciens routeurs D-Link lors d’une offensive zero-day

Sous-titre : Une faille zero-day critique dans des routeurs D-Link obsolètes est activement exploitée lors d’attaques en direct, révélant les dangers cachés des technologies dépassées qui subsistent sur les réseaux d’entreprise.

C’est le cauchemar de la cybersécurité qui refuse de mourir : des attaquants exploitent activement une vulnérabilité dévastatrice dans des routeurs D-Link que la plupart des organisations pensaient avoir relégués au passé. La surprise ? Ces appareils ne sont plus pris en charge depuis des années, mais restent une porte d’entrée béante pour les cybercriminels qui rôdent aux frontières du numérique.

Rappel brutal que le matériel d’hier peut devenir la menace de demain, des chercheurs en sécurité ont découvert une faille zero-day - CVE-2026-0625 - utilisée dans la nature pour prendre le contrôle de routeurs passerelle D-Link en fin de vie. L’attaque est déjà en cours dans des environnements réels, et l’ampleur exacte reste floue alors que les enquêteurs s’efforcent d’identifier tous les modèles concernés.

Au cœur de la brèche : anatomie d’un cauchemar de routeur

L’histoire a commencé en décembre 2025, lorsque la société de recherche VulnCheck a alerté D-Link d’une activité suspecte : des pirates exploitaient une faille d’injection de commande dans le composant dnscfg.cgi de certains routeurs DSL. La vulnérabilité, notée 9,3 sur l’échelle CVSS, permet à des attaquants distants d’injecter des commandes malveillantes déguisées en modifications de configuration DNS - leur offrant les clés du royaume avec une facilité glaçante.

La racine du problème réside dans l’incapacité des routeurs à filtrer les entrées utilisateur avant de traiter les paramètres DNS. Cette négligence classique permet à des attaquants non authentifiés de manipuler l’appareil, de voler des données, d’installer des portes dérobées persistantes ou de rebondir vers d’autres systèmes du réseau.

Pire encore, la liste précise des modèles à risque reste insaisissable. D-Link examine d’anciens et actuels firmwares, mais les différences dans la façon dont chaque appareil implémente la bibliothèque CGI vulnérable font que seule une inspection directe du firmware permet d’identifier les routeurs concernés. Par le passé, des campagnes similaires ont visé les modèles DSL-2740R, DSL-2640B, DSL-2780B et DSL-526B - certains datant de près d’une décennie.

Technologie héritée : une bombe à retardement

L’incident n’est pas isolé. Au cours des cinq dernières années, la CISA a recensé une série de vulnérabilités graves dans des équipements D-Link abandonnés - des failles qui persistent bien après la fin du support officiel. Pourtant, de nombreuses organisations, contraintes par leur budget ou l’inertie, continuent de s’appuyer sur des routeurs anciens en périphérie de leur réseau. Ce faisant, elles laissent sans le savoir la porte ouverte à des attaquants opportunistes, spécialistes de la résurrection de vulnérabilités oubliées.

Le conseil de D-Link est sans détour : mettez immédiatement ces appareils obsolètes hors service. Le coût du remplacement est dérisoire face au risque d’une compromission majeure initiée par un routeur à 50 € qui aurait dû être mis au rebut depuis des années.

Conclusion : la persistance du passé

Cette nouvelle campagne zero-day est une leçon sévère sur les dangers de la négligence numérique. Tant que des équipements obsolètes et non pris en charge resteront en ligne, les attaquants continueront d’exploiter les fantômes des technologies passées. Pour les défenseurs, le message est clair : le seul appareil hérité sûr est celui qui a été définitivement retiré.

WIKICROOK

  • Zero : Une vulnérabilité zero-day est une faille de sécurité cachée, inconnue de l’éditeur du logiciel et sans correctif disponible, ce qui la rend extrêmement précieuse et dangereuse pour les attaquants.
  • Injection de commande : L’injection de commande est une vulnérabilité où les attaquants trompent les systèmes pour exécuter des commandes non autorisées en insérant des données malveillantes dans des champs ou interfaces utilisateur.
  • Firmware : Le firmware est un logiciel spécialisé stocké dans des appareils matériels, gérant leurs opérations de base et leur sécurité, et leur permettant de fonctionner correctement.
  • End : Le chiffrement de bout en bout est une méthode de sécurité où seuls l’expéditeur et le destinataire peuvent lire les messages, gardant les données privées même vis-à-vis des fournisseurs de services et des pirates.
  • Score CVSS : Un score CVSS évalue la gravité des vulnérabilités de sécurité de 0 à 10, les chiffres les plus élevés indiquant un risque accru et une urgence de réponse.
D-Link routers zero-day vulnerability cybersecurity threats
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news