Celah Baru D-Link di Router DSL Lawas Aktif Dieksploitasi Penyerang

Peneliti keamanan siber mengungkap adanya kerentanan baru pada sejumlah router DSL lama buatan D-Link yang saat ini sudah tidak lagi mendapatkan dukungan resmi. Celah tersebut telah dimanfaatkan secara aktif dalam serangan siber dan memungkinkan penyerang mengeksekusi perintah jarak jauh tanpa autentikasi.

Kerentanan ini terdaftar sebagai CVE-2026-0625 dan berasal dari kelemahan validasi input pada endpoint dnscfg.cgi. Masalah tersebut disebabkan oleh sanitasi input yang tidak memadai di dalam pustaka CGI, sehingga penyerang dapat menyisipkan perintah berbahaya melalui parameter konfigurasi DNS.

Terpantau Aktif Digunakan dalam Serangan

Kerentanan ini pertama kali dilaporkan pada pertengahan Desember setelah aktivitas eksploitasi terdeteksi pada sistem honeypot milik komunitas pemantauan ancaman global. Berdasarkan analisis awal, teknik serangan yang digunakan belum terdokumentasi secara luas sebelumnya, menandakan bahwa eksploitasi masih tergolong baru dan berpotensi berkembang.

Dengan memanfaatkan celah ini, penyerang jarak jauh tanpa kredensial dapat menjalankan perintah shell arbitrer di perangkat target. Dampaknya sangat serius karena membuka jalan bagi pengambilalihan penuh perangkat melalui eksekusi kode jarak jauh.

Model Router yang Terdampak

Setelah dilakukan verifikasi bersama antara peneliti keamanan dan pihak vendor, sejumlah model router DSL lama dipastikan rentan terhadap CVE-2026-0625. Perangkat-perangkat tersebut mencakup beberapa seri populer yang telah mencapai status end-of-life sejak 2020 dan tidak lagi menerima pembaruan firmware atau patch keamanan.

Karena status dukungan telah berakhir, D-Link menegaskan bahwa tidak akan tersedia pembaruan resmi untuk menutup celah ini. Pengguna sangat disarankan untuk menghentikan penggunaan perangkat-perangkat tersebut dan menggantinya dengan model yang masih didukung secara aktif.

Tantangan Identifikasi Dampak Lebih Luas

D-Link juga mengakui bahwa proses identifikasi seluruh produk yang berpotensi terdampak bukan hal yang sederhana. Variasi implementasi firmware dan perbedaan generasi produk membuat pendeteksian berbasis nomor model menjadi tidak andal. Untuk itu, vendor masih melakukan analisis lanjutan dengan memeriksa berbagai rilis firmware, baik pada perangkat lama maupun yang masih didukung.

Hingga saat ini, belum diketahui secara pasti siapa pihak yang mengeksploitasi celah ini dan target apa saja yang disasar. Namun, dalam konfigurasi standar, sebagian besar router konsumen hanya mengekspos antarmuka administrasi CGI ke jaringan lokal. Artinya, eksploitasi kemungkinan melibatkan serangan berbasis peramban atau perangkat yang dikonfigurasi dengan akses administrasi jarak jauh.

Rekomendasi Keamanan bagi Pengguna

Kasus ini kembali menegaskan risiko penggunaan perangkat jaringan yang sudah tidak mendapatkan dukungan vendor. Router dan perangkat jaringan berstatus end-of-life tidak lagi menerima pembaruan keamanan, sehingga menjadi sasaran empuk bagi penyerang.

Pengguna disarankan untuk mengganti perangkat lama dengan model yang masih didukung dan rutin mendapatkan pembaruan. Jika penggantian belum memungkinkan, perangkat sebaiknya ditempatkan di jaringan tersegmentasi non-kritis, menggunakan firmware terbaru yang tersedia, serta dikonfigurasi dengan pengaturan keamanan paling ketat.

Penutup

Eksploitasi aktif terhadap CVE-2026-0625 menunjukkan bahwa perangkat lama tetap menjadi target bernilai tinggi bagi pelaku kejahatan siber. Tanpa perlindungan dan pembaruan yang memadai, router lawas da