تواجه شريحة واسعة من أجهزة التوجيه (Routers) القديمة التي تحمل علامة D-Link حملة استغلال نشطة وشرسة، تعتمد على ثغرة أمنية حرجة تمنح المهاجمين صلاحيات تنفيذ أوامر عن بعد دون الحاجة لأي مصادقة. ويقود هذا الخلل الأمني، وفقاً لما أكدته تقارير بحثية وتحذيرات الشركة المصنعة نفسها، إلى سيطرة كاملة للمخترقين على الجهاز، مع القدرة على التلاعب بإعدادات نظام أسماء النطاقات (DNS) وتوجيه حركة مرور المستخدمين نحو وجهات مشبوهة.
كيف تسقط الحصون الرقمية؟
تحمل الثغرة المعرف البرمجي CVE-2026-0625، وقد صنفها باحثو VulnCheck بدرجة خطورة حرجة بلغت 9.3 (وفق معيار CVSS v4). يكمن مكمن الخطر في نقطة نهاية محددة ضمن واجهة إعدادات DNS، وتحديداً في المكون البرمجي dnscfg.cgi.
ينشأ الخلل نتيجة فشل البرنامج الثابت في تنقية ومعالجة المدخلات التي يرسلها المستخدم بشكل كاف. يتيح هذا الضعف البرمجي للمهاجمين إرسال طلبات معدة خصيصاً إلى الجهاز المستهدف دون الحاجة لامتلاك اسم مستخدم أو كلمة مرور. بمجرد وصول الطلب، يتمكن المهاجم من حقن أوامر برمجية على مستوى النظام وتشغيلها، ما يفتح الباب واسعاً أمام تنفيذ أوامر عن بعد (RCE) والسيطرة المطلقة على الموجه.
وتندرج هذه الثغرة ضمن فئة غياب المصادقة والتحكم في الوصول إلى الوظائف الحساسة، ما يجعل الوظائف الجوهرية للجهاز مشاعاً لمن يملك الأدوات لاستغلالها.
DNSChanger: حين يتحكم المخترق في وجهة التصفح
ترتبط هذه الثغرة بشكل مباشر وموثق بسلوك خبيث يعرف تقنياً باسم DNSChanger. تتيح هذه التقنية للمهاجم تعديل خوادم DNS المسجلة في إعدادات الموجه بصمت ودون علم الضحية. وتكمن خطورة هذا الإجراء في أنه يسمح للمهاجم بإعادة توجيه حركة تصفح المستخدم بالكامل إلى بنية تحتية خبيثة يسيطر عليها؛ ما قد يؤدي إلى اعتراض الاتصالات الحساسة، أو توجيه المستخدمين عند طلبهم لمواقع شهيرة، مثل البنوك أو البريد الإلكتروني، إلى صفحات احتيالية مطابقة للأصل لسرقة بياناتهم.
وقد أقرت D-Link بأن نقطة النهاية المتأثرة ارتبطت تاريخياً بحملات مماثلة، حيث وثقت الشركة سابقاً هجمات استهدفت إصدارات محددة من البرامج الثابتة ضمن طرازات بوابات DSL خلال الفترة الممتدة بين عامي 2016 و2019.
رصد الاستغلال الميداني وقائمة الأجهزة المتضررة
لم يكن الكشف عن الثغرة استباقياً تماماً، إذ تشير البيانات إلى أن الاستغلال قد بدأ بالفعل قبل الإعلان الرسمي. فقد رصدت مؤسسة The Shadowserver Foundation مؤشرات استغلال في بيئات فعلية بتاريخ 27 نوفمبر 2025، وهو ما تقاطع مع تقارير أكدت وجود نشاط هجومي في منذ أواخر الشهر ذاته.
ورغم غياب معلومات حاسمة عن هوية المهاجمين، إلا أن الأجهزة المكشوفة على شبكة الإنترنت العامة أو تلك التي تفعل خاصية الإدارة عن بعد تعد الهدف الأسهل والأكثر جاذبية.
وفيما يتعلق بنطاق الأجهزة، تشير التقارير إلى تأثر طرازات متعددة ضمن عائلات DSL وDIR وDNS. ووفقاً لقائمة VulnCheck، تشمل الأجهزة المتأثرة طرازات مثل:
- سلسلة DSL: تشمل DSL-500, DSL-500G, DSL-502G, DSL-526B, DSL-2640B, DSL-2640T, DSL-2740R, DSL-2780B.
- سلسلة DIR: تشمل DIR-600, DIR-608, DIR-610, DIR-611, DIR-615, DIR-905L.
- أجهزة التخزين الشبكي: تشمل طرازات قديمة ضمن سلسلة DNS-320, DNS-325, DNS-345.
وتلفت D-Link النظر إلى صعوبة تحديد الأجهزة المصابة بالاعتماد فقط على رقم الطراز المطبوع على الهيكل الخارجي، نظراً للتباينات الكبيرة في إصدارات البرامج الثابتة عبر الأجيال المختلفة، مؤكدة أن الحسم يتطلب فحصاً مباشراً لنسخة الـ Firmware داخل الجهاز.
لا تحديثات، والحل في الاستبدال
في موقف حازم، أكدت D-Link تصنيف جميع الأجهزة المشمولة بهذا التحذير كأجهزة قديمة خرجت من دورة الدعم منذ سنوات. وبناء على هذه السياسة، أعلنت الشركة أنها لن تصدر أي تصحيح أمني لمعالجة الثغرة CVE-2026-0625، ولن توفر أي دعم هندسي للمتضررين.
الحل الرسمي والوحيد الذي قدمته الشركة هو إحالة الأجهزة للتقاعد واستبدالها فوراً بطرازات حديثة تتلقى تحديثات أمنية منتظمة. كما أشارت إلى أنها بدأت تحقيقاً داخلياً في 16 ديسمبر 2025 فور تلقيها بلاغاً من VulnCheck حول نشاط مشبوه في مكونات CGI، وهي حالياً تراجع الاستخدام التاريخي للمكتبات البرمجية المتأثرة.
وحملت الشركة المستخدمين الذين يصرون على استخدام هذه الأجهزة مسؤولية المخاطر المترتبة، ناصحة إياهم بمراجعة وضع الشبكة وعزل الأجهزة، مع إتاحة آخر ملفات معروفة للمنتجات الأمريكية عبر أرشيف الأجهزة القديمة.
شبح GhostDNS يعود
تعيد هذه الهجمات للأذهان شبح حملة GhostDNS التي صنفت في يناير 2019 كنظام واسع النطاق لاختطاف DNS بهدف سرقة البيانات. آنذاك، أفادت جهة بحثية تدعى Netlab بتأثر أكثر من 100 ألف موجه حول العالم، مع تركيز كبير على البرازيل، وشملت القائمة أجهزة من D-Link وشركات أخرى.
وتعتبر D-Link أن الثغرة الحالية تمثل امتداداً متطوراً لمنظومة DNSChanger، حيث تطورت الأدوات الهجومية لتشمل متغيرات تعتمد على نصوص برمجية معقدة مثل Shell وPyPhp. وقد ارتبط المتغير الأخير بتشغيل واسع عبر أكثر من 100 خادم للتحكم والسيطرة، واستخدام أكثر من 100 سكريبت هجومي لاختراق الشبكات الداخلية والعامة.
