文章总结： D-Link路由器正遭受利用CVE-2026-0625漏洞的大规模DNS劫持攻击，攻击者通过命令注入篡改DNS设置重定向流量至恶意站点。受影响设备包括DSL-526B等型号，主要针对澳欧地区定制固件。建议用户联系ISP更新固件、恢复出厂设置并手动设置受信任DNS以缓解威胁。 综合评分： 82 文章分类： 漏洞预警,威胁情报,IoT安全

D-Link路由器正遭受大规模DNS劫持攻击

网安百色

2026年1月9日 19:06 广西

D-Link路由器正遭受大规模DNS劫持攻击，威胁行为者利用命令注入漏洞操控路由器配置，将家庭网络流量重定向至恶意站点。本次分析整合了历史攻击活动（2016-2019年）与近期CVE-2026-0625漏洞的最新情报，为用户提供全面威胁视图。

一、攻击活动全景

持续性威胁时间线

• 2016-2019年：Proofpoint安全团队首次捕获针对D-Link DSL路由器的DNS劫持活动，攻击者通过命令注入漏洞操控设备
• 2025年11月：Shadowserver基金会蜜罐系统再次检测到同类攻击模式复苏
• 2026年1月：安全公告确认CVE-2026-0625漏洞正处于活跃利用阶段

攻击技术演进

攻击者持续利用D-Link路由器命令注入漏洞实现DNS设置篡改：

1. 初始入口：通过dnscfg.cgi接口注入恶意DNS服务器地址
2. 流量重定向：将用户请求指向攻击者控制的DNS服务器
3. 恶意转化：用户访问的合法网站被替换为钓鱼或恶意软件分发站点
4. 隐蔽持久化：修改路由器配置文件实现持久化控制

值得注意的是，攻击者已从早期利用通用漏洞，发展到针对区域定制固件的精准攻击，尤其针对澳大利亚、马来西亚和欧洲市场的设备。

二、受影响设备完整清单

表格

| 设备型号 | 硬件版本 | 主要影响区域 | 受影响固件 | 修复状态 | | — | — | — | — | — | | D-Link DSL-526B | Revision B | 澳大利亚 | AU v2.01及更早 | 调查中 | | D-Link DSL-2640B | Revision T | 马来西亚 | GE v1.07及更早 | 调查中 | | D-Link DSL-2740R | Revision A | 欧洲 | EU v1.15及更早 | 已修复(EU_1.17) | | D-Link DSL-2780B | Revision A | 澳新/欧洲 | v1.01.14及更早 | 调查中 | | D-Link DSL-2640B | 多版本 | 全球 | 多个固件版本 | CVE-2026-0625 |

关键发现：部分设备为ISP定制版本，其固件未在D-Link官方支持门户公开，这为攻击者提供了可乘之机。例如，澳大利亚版本的DSL-526B使用特定固件，与全球其他地区版本存在差异，导致标准补丁无法适用。

缓解措施

1. 联系你的ISP

   ：如果路由器是运营商提供的，直接向他们申请固件更新。

2. 恢复出厂设置

   ：http://192.168.0.1 访问网页界面，进行恢复出厂设置，并设置强密码。

3. 更改DNS设置

   ：通过路由器的网页界面手动配置受信任的DNS服务器：

• Google DNS

  ：8.8.8.8 或 8.8.4.4

• Cloudflare DNS

  ：1.1.1.1

1. Link强调，安装非特定区域的固件可能会导致设备瘫痪或进一步威胁安全。

本公众号所载文章为本公众号原创或根据网络搜索下载编辑整理，文章版权归原作者所有，仅供读者学习、参考，禁止用于商业用途。因转载众多，无法找到真正来源，如标错来源，或对于文中所使用的图片、文字、链接中所包含的软件/资料等，如有侵权，请跟我们联系删除，谢谢！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安百色 《D-Link路由器正遭受大规模DNS劫持攻击》