D-Link-Router, Kritische

D-Link-Router: Kritische Sicherheitslücke bedroht tausende Nutzer

07.01.2026 - 20:12:12

Eine schwere Sicherheitslücke in ausgemusterten D-Link Routern wird aktiv ausgenutzt. Da kein Patch verfügbar ist, raten Experten zum sofortigen Austausch der betroffenen Geräte.

D-Link-Router: Kritische Sicherheitslücke bedroht tausende Nutzer - Foto: über boerse-global.de
D-Link-Router: Kritische Sicherheitslücke bedroht tausende Nutzer - Foto: über boerse-global.de

Eine schwerwiegende Sicherheitslücke in ausgemusterten D-Link-Routern wird aktiv ausgenutzt – ohne Patch in Sicht. Die Schwachstelle ermöglicht Angreifern die vollständige Kontrolle über das Gerät und den gesamten Netzwerkverkehr.

Aktive Angriffe auf veraltete Hardware

Die als CVE-2026-0625 eingestufte Zero-Day-Lücke betrifft mehrere DSL-Router, deren Support bereits vor Jahren eingestellt wurde. Sicherheitsforscher bestätigten am Mittwoch, dass Cyberkriminelle die Schwachstelle bereits nutzen, um DNS-Einstellungen zu manipulieren und sensible Daten abzufangen. Mit einem CVSS-Score von 9,3 gilt die Lücke als kritisch.

Besonders brisant: Für die betroffenen End-of-Life-Geräte wird es keinen offiziellen Sicherheitspatch geben. Experten raten daher zum sofortigen Austausch der Hardware. “Diese Geräte sind ein offenes Tor für Angreifer”, warnt ein Sicherheitsanalyst. “Wer sie noch im Einsatz hat, gefährdet sein gesamtes Netzwerk.”

Anzeige

Passend zum Thema Cyberangriffe: Studien zeigen, dass 73% der deutschen Unternehmen nicht ausreichend gegen aktuelle Angriffsvektoren geschützt sind. Aktive DNS-Manipulationen wie die hier beschriebene Lücke machen Netzwerke besonders angreifbar – vor allem wenn veraltete Hardware im Einsatz ist. Das kostenlose E‑Book liefert praxisnahe Schutzmaßnahmen, Prioritäten für sofortiges Handeln und Checklisten, mit denen auch kleine Teams ihre Verteidigung deutlich verbessern können. Jetzt kostenlosen Cyber-Security-Report herunterladen

So funktioniert der Angriff

Die Schwachstelle sitzt im dnscfg.cgi-Modul der Router-Firmware. Durch unsaubere Überprüfung von DNS-Konfigurationsparametern können Angreifer ohne Authentifizierung beliebige Befehle einschleusen. Das erinnert an die berüchtigten DNSChanger-Attacken vergangener Jahre.

Einmal kompromittiert, können die Router den gesamten Datenverkehr auf schädliche Server umleiten. Phishing-Attacken werden so ebenso ermöglicht wie das Blockieren von Sicherheitsupdates. Die Angriffe erfordern lediglich Netzwerkzugriff auf die oft ungeschützt im Internet erreichbare Verwaltungsoberfläche.

Diese Modelle sind betroffen

  • DSL-526B (Firmware Version 2.01 und älter)
  • DSL-2640B (Version 1.07 und älter)
  • DSL-2740R (Version 1.17 und älter)
  • DSL-2780B (Version 1.01.14 und älter)

Diese Geräte erreichten bereits um 2020 ihren End-of-Life-Status. Dennoch sind Schätzungen zufolge noch tausende Exemplare in Heimnetzwerken und kleinen Unternehmen im Einsatz. Sie bilden eine gefährliche “Schatten-Infrastruktur”, die zunehmend ins Visier von Botnetz-Betreibern gerät.

Angriffe laufen bereits seit Wochen

Entdeckt wurde die Lücke vom Sicherheitsunternehmen VulnCheck, das D-Link am 16. Dezember 2025 informierte. Doch forensische Daten zeigen: Die Ausnutzung begann schon früher.

Die Non-Profit-Organisation Shadowserver Foundation beobachtete entsprechende Angriffsversuche bereits ab dem 27. November 2025. Am 6. Januar 2026 veröffentlichte D-Link schließlich die Sicherheitswarnung SAP10488 und bestätigte die aktive Ausnutzung.

Das Unternehmen räumt ein, dass die komplexen Firmware-Varianten der Altgeräte eine zuverlässige Erkennung erschweren. Die Untersuchung, ob weitere historische Produkte betroffen sein könnten, läuft noch.

Warum “zombie”-Hardware so gefährlich ist

Der Fall zeigt ein wachsendes Problem: die Weaponisierung veralteter Hardware. Wenn Hersteller den Support einstellen, werden diese Geräte zu statischen Zielen für Angreifer. Legacy-Code bleibt oft jahrelang im Einsatz – ohne die Sicherheitsstandards moderner Entwicklung.

Einmal kompromittiert, umgeht der Angreifer die gesamte Perimeter-Sicherheit. Firewalls und Endpoint-Schutz verlieren gegen manipulierte DNS-Einstellungen ihre Wirkung. Die Sicherheitsverantwortung liegt damit vollständig beim Nutzer.

Was Nutzer jetzt tun müssen

Da keine Patches verfügbar sind, bleibt nur der Hardware-Austausch. Sicherheitsexperten empfehlen dringend:

  1. Netzwerkgeräte überprüfen
  2. Betroffene Modelle sofort vom Netz nehmen
  3. Durch aktuell unterstützte Router ersetzen

Die Angriffe werden voraussichtlich zunehmen, da Botnetz-Betreiber die Exploits in ihre automatisierten Tools integrieren. Wer noch einen der betroffenen Router betreibt, riskiert nicht nur den Verlust seiner Daten, sondern könnte unwissentlich Teil von DDoS-Angriffen werden.

Die einzige sichere Lösung: Abschalten, austauschen, entsorgen.

Anzeige

PS: IT‑Verantwortliche kleiner Firmen und technisch versierte Privatanwender sollten jetzt handeln. Unser Gratis-Leitfaden erklärt Schritt für Schritt, wie Sie Netzwerke absichern, kompromittierte Router schnell identifizieren und isolieren sowie Phishing‑Angriffe wirkungsvoll reduzieren – mit praxiserprobten Checklisten und klaren Prioritäten für sofort umsetzbare Maßnahmen. So stärken Sie Ihre Verteidigung ohne große Budgets. Kostenlosen Cyber-Security-Leitfaden anfordern

@ boerse-global.de
Lerne live von den Börsen-Profis – melde dich jetzt kostenlos an.