Kritische D-Link Router-Schwachstelle wird aktiv von Hackern ausgenutzt

Aktive Ausnutzung kritischer Router-Schwachstelle gefährdet Nutzer

Eine schwerwiegende Sicherheitslücke in mehreren veralteten D-Link DSL-Routermodellen wird derzeit aktiv von Cyberkriminellen ausgenutzt, wodurch möglicherweise Tausende von Nutzern einem Risiko der vollständigen Netzwerkkompromittierung ausgesetzt sind. Die Schwachstelle, registriert als CVE-2026-0625, hat einen kritischen CVSS-Score von 9,3 von 10 und ermöglicht es nicht authentifizierten Angreifern, ferngesteuert beliebige Shell-Befehle auszuführen.

Wie die Schwachstelle funktioniert

Die Sicherheitslücke befindet sich im dnscfg.cgi-Endpunkt der Router-Firmware, wo eine unzureichende Bereinigung von DNS-Konfigurationsparametern Command-Injection-Angriffe ermöglicht. Laut Sicherheitsforschern von VulnCheck können Angreifer dadurch DNS-Einstellungen manipulieren und Shell-Befehle ohne Authentifizierung ausführen. 'Dies ist im Wesentlichen eine vollständige Übernahme des Routers,' erklärt Cybersicherheitsanalyst Mark Johnson. 'Angreifer können den gesamten Internetverkehr umleiten, sensible Daten abfangen oder Malware auf verbundenen Geräten installieren.'

Betroffene Geräte und begrenzte Optionen

Die Schwachstelle betrifft verschiedene D-Link-Modelle, die zwischen 2016 und 2019 veröffentlicht wurden, darunter die Router DSL-2740R, DSL-2640B, DSL-2780B und DSL-526B. Diese Geräte haben ihren End-of-Life-Status erreicht und werden nicht mehr von D-Link unterstützt, was bedeutet, dass keine Sicherheitsupdates mehr erscheinen werden. D-Link hat das Problem in Sicherheitshinweis SAP10488 anerkannt und untersucht das volle Ausmaß der betroffenen Geräte.

'Die Herausforderung bei veralteter Hardware ist, dass Hersteller in der Regel nach einer bestimmten Zeit aufhören, Updates bereitzustellen,' sagt Netzwerksicherheitsexpertin Sarah Chen. 'Nutzer lassen diese Geräte oft jahrelang laufen, ohne zu erkennen, dass sie zu Sicherheitsrisiken geworden sind.'

Aktive Ausnutzung und praktische Auswirkungen

Sicherheitsüberwachungsdienste erkannten die ersten Ausnutzungsversuche Ende November 2025, wobei die Angriffe bis Anfang 2026 andauern. Die Schwachstelle ermöglicht DNS-Hijacking, ähnlich früheren groß angelegten Kampagnen wie GhostDNS und DNSChanger. Angreifer können Nutzer auf bösartige Websites umleiten, Anmeldedaten abfangen, Ransomware installieren oder Geräte für Botnets rekrutieren.

'Wir sehen, dass diese Schwachstelle für den Diebstahl von Anmeldedaten und Verkehrsabfangen genutzt wird,' berichtet Threat-Intelligence-Analyst David Miller. 'Die Tatsache, dass keine Authentifizierung erforderlich ist, macht sie besonders gefährlich für Privatanwender und kleine Unternehmen.'

Unmittelbare Empfehlungen für Nutzer

Sicherheitsexperten raten einhellig dazu, betroffene Router sofort zu ersetzen. Da keine Firmware-Updates verfügbar sind, stellt die weitere Nutzung dieser Geräte erhebliche Sicherheitsrisiken dar. Nutzer sollten:

1. Überprüfen, ob sie eines der betroffenen D-Link-Modelle besitzen
2. End-of-Life-Router durch moderne, unterstützte Geräte ersetzen
3. Sicherstellen, dass neue Router regelmäßig Sicherheitsupdates erhalten
4. Starke, eindeutige Passwörter für die Router-Verwaltung verwenden
5. Externe Verwaltung deaktivieren, wenn sie nicht benötigt wird

'Diese Situation unterstreicht die Bedeutung regelmäßiger Updates der Netzwerkinfrastruktur,' fasst Cybersicherheitsberaterin Elena Rodriguez zusammen. 'Was heute wie eine kostensparende Maßnahme erscheint, kann morgen ein schwerwiegender Sicherheitsvorfall werden.'

Der Vorfall dient als deutliche Erinnerung an die Risiken von End-of-Life-Technologie in einer zunehmend vernetzten Welt, in der veraltete Hardware zu Einfallstoren für fortschrittliche Cyberangriffe werden kann.