- بواسطة x32x01 ||
مراكز المراقبة الأمنية التابعة لـ The Shadowserver Foundation رصدت استغلال نشط لثغرة جديدة مسجلة باسم CVE-2026-0625
الثغرة دي بتستهدف راوترات D-Link القديمة، وبتسمح باختراق الاتصال والتحكم في الجهاز من غير أي تسجيل دخول
المشكلة فين بالظبط؟
المشكلة موجودة في واجهة الإدارة، تحديدًا في ملف dnscfg.cgi الملف ده:
إزاي الهجوم بيحصل؟ (ببساطة)
المسح الآلي للأجهزة
المهاجمين بيستخدموا أدوات مسح واسعة:
تنفيذ الأوامر (RCE)
السيطرة الكاملة
بعد كده الهاكر يقدر:
الموديلات المتأثرة
التقارير أكدت إن الثغرة بتضرب موديلات توقف دعمها رسميًا:
ليه الموضوع أخطر مما تتخيل؟
شركة D-Link أعلنت رسميًا:
الحلول والتوصيات العاجلة
الإجراء الأفضل (الموصى بيه)
تقليل الخطر مؤقتًا (Mitigation)
لو مضطر تكمل بالجهاز شوية:
نقطة مهمة لأي مهندس شبكة
الاعتماد على أجهزة:
وأي Network أو Security Design سليم لازم: يحسب حساب عمر الجهاز قبل أي حاجة
الخلاصة
الثغرة دي بتستهدف راوترات D-Link القديمة، وبتسمح باختراق الاتصال والتحكم في الجهاز من غير أي تسجيل دخول
المشكلة فين بالظبط؟ 
المشكلة موجودة في واجهة الإدارة، تحديدًا في ملف dnscfg.cgi الملف ده:- مفيهوش تنقية مدخلات (Input Sanitization) بشكل سليم
- وده بيسمح بحقن أوامر مباشرة في نظام الراوتر
- من غير Username ولا Password
إزاي الهجوم بيحصل؟ (ببساطة) 
المسح الآلي للأجهزة 
المهاجمين بيستخدموا أدوات مسح واسعة:- يدوروا على منافذ الإدارة المفتوحة زي 80 أو 8080
- ويحددوا موديلات D-Link المصابة عن طريق البصمة الرقمية
تنفيذ الأوامر (RCE) 
- بيتبعت طلب HTTP مُجهز بشكل خبيث
- الراوتر ينفّذ أوامر على نظام Linux الداخلي
- من غير أي تدخل من صاحب الجهاز
السيطرة الكاملة 
بعد كده الهاكر يقدر:- يغير DNS
- يتجسس على الترافيك غير المشفر
- يضم الراوتر لشبكات Botnet
- ويشارك في هجمات DDoS
الموديلات المتأثرة 
التقارير أكدت إن الثغرة بتضرب موديلات توقف دعمها رسميًا:- DSL-2740R: كل النسخ القديمة
- DSL-2640B: الإصدار 1.07 وما قبله
- DSL-2780B: موديلات بتستخدم نفس مكتبة CGI
- DSL-526B: كل النسخ اللي مفيش لها تحديثات
- DSL-6740C: مرتبط بثغرات مشابهة زي CVE-2024-11068
ليه الموضوع أخطر مما تتخيل؟ 
شركة D-Link أعلنت رسميًا:- الأجهزة دي Legacy
- مفيش Security Patches
- ومفيش أي تحديثات جاية
الحلول والتوصيات العاجلة 
الإجراء الأفضل (الموصى بيه) 
- استبدال الراوتر فورًا
- بجهاز حديث:
- بيدعم التحديثات
- وبروتوكولات أمان حديثة
تقليل الخطر مؤقتًا (Mitigation) 
لو مضطر تكمل بالجهاز شوية:- اقفل Remote Management من جهة الـ WAN
- اتأكد إن صفحة الإدارة مش مكشوفة على الإنترنت
- غيّر DNS يدويًا على الأجهزة المتصلة لمزودات موثوقة زي:
- Cloudflare →
1.1.1.1 - Google →
8.8.8.8
- Cloudflare →
نقطة مهمة لأي مهندس شبكة 
الاعتماد على أجهزة:- قديمة
- من غير تحديثات
- ومن غير Vendor Support
وأي Network أو Security Design سليم لازم: يحسب حساب عمر الجهاز قبل أي حاجة
الخلاصة
- ثغرة CVE-2026-0625 نشطة حاليًا
- راوترات D-Link القديمة مستهدفة
- مفيش تحديثات رسمية
- الاستبدال هو الحل الحقيقي
- الحلول المؤقتة تقلل الخطر بس ما تمنعوش