吳明宜網通設備大廠友訊 (D-Link) 與中國品牌 TOTOLINK 的網路設備,近期雙雙傳出在已結束產品生命週期 (EoL) 的產品上出現安全漏洞。其中 D-Link 產品甚至出現零時差漏洞,並已被駭客利用;然而,兩家業者皆表示由於產品已終止支援,將不會修補這些漏洞。
在 D-Link 方面,被發現存在一個 OS 指令注入漏洞 CVE-2026-0625 (CVSS score 9.3),主因是 D-Link 閘道器軟體中的 dnscfg.cgi 函式庫,未適當檢查使用者端輸入的 DNS 配置參數。資安廠商 VulnCheck 指出,該漏洞能讓遠端未經身分驗證的攻擊者注入和執行任意 Shell 指令,進而實行遠端程式碼執行 (RCE) 。
受影響的端點已被發現出現未經授權的 DNS 修改行為。 D-Link 因此公告本漏洞已遭到攻擊或濫用,主要目標是 2016 到 2019 年之間使用的韌體,包含 DSL-2740R 、 DSL-2640B 、 DSL-2780B 和 DSL-526B 及其變形版本。
友訊指出,本漏洞影響多款舊裝置,主要是超過五年以上、已停產的 DSL 閘道器,但由於韌體實作版本繁多,使其一時之間難以釐清明確的受影響機種。友訊正持續檢視當中,會儘快公佈所有受影響的產品型號與韌體版本。但即使公佈了詳細名單,友訊明確表示不會釋出修補程式。
在 TOTOLINK 方面,漏洞編號為 CVE-2025-65606,發生在韌體上傳錯誤處理的邏輯元件上,主要影響 TOTOLINK 無線訊號延伸器 EX200 。當裝置在處理變造的韌體檔案時,其韌體上傳處理元件會進入異常錯誤狀態,導致啟動 Telnet 服務。本漏洞由研究人員 Leandro Kogan 通報,目前尚未公佈風險值。
根據 CERT/CC 說明,該 Telnet 服務可以 Root 權限執行,且不需要身分驗證,因而給了攻擊者完整的系統控制能力。由於 Telnet 介面一般情形下是關閉的,也不應向外部網路公開,因此此行為形同為駭客創造了一個意料之外的遠端管理者介面。
要想濫用這個漏洞,攻擊者必須先獲得裝置 Web 管理介面的驗證權限,才能觸發韌體上傳功能的錯誤。然而一旦滿足這個條件,攻擊者就能修改配置、執行任意指令,並建立長期存取本地網路的管道。 TOTOLINK EX200 同樣是已 EoL 的產品,最後一次韌體更新是在 2021 到 2023 年(EX200 版本 1 、 2)。和 D-Link 一樣,TOTOLINK 也不打算發佈修補程式。
CERT/CC 提醒,管理員及用戶最好盡速汰換舊裝置;如果未能及時換新,應立即限制管理介面僅允許受信任的來源 IP 存取,以免有心人士入侵管理介面,並應隨時留意內部網路是否有陌生的 Telnet 活動。