Nas últimas 72 horas estamos observando uma onda de ataques focados em roteadores D-Link, especificamente nos modelos D-Link DIR-600L, DIR-605L e DIR-619L. Essas vulnerabilidades são preocupantes porque muitos desses dispositivos atingiram o fim de seu suporte (EOL – End of Life), o que significa que não receberão atualizações de firmware para corrigir os problemas.
Esses roteadores foram lançados entre 2010 e 2013, quando o padrão 802.11n era amplamente adotado em dispositivos de entrada. Eles foram amplamente comercializados, especialmente em mercados emergentes como Índia, Brasil e Filipinas, devido ao seu baixo custo e funcionalidades básicas. Continuam em uso em residências e pequenas empresas, especialmente em regiões onde o custo de substituição é uma barreira, ou onde os usuários não estão cientes das vulnerabilidades.
Alguns exemplos de vulnerabilidades recentes nesses dispositivos:
1. D-Link DIR-600L
Vulnerabilidades muito recentes
- CVE-2025-4349 (05/05/2025): Uma vulnerabilidade crítica no firmware até a versão 2.07B01, afetando a função formSysCmd. A manipulação do argumento host permite a execução remota de comandos, possibilitando que um atacante assuma o controle do roteador sem autenticação.
- CVE-2025-4350 (05/05/2025): Outra falha crítica na função wake_on_lan do mesmo firmware. A manipulação de argumentos pode levar à execução de código arbitrário, permitindo ataques remotos.
2. D-Link DIR-605L
Vulnerabilidades muito recentes
- CVE-2025-4441 (08/05/2025): Vulnerabilidade de estouro de buffer (buffer overflow) que pode ser explorada remotamente manipulando o parâmetro curTime. Isso permite a execução de código arbitrário, comprometendo o roteador.
- CVE-2025-4442 (08/05/2025): Outro estouro de buffer remoto, desta vez via manipulação de configurações WAN, também permitindo execução de código malicioso.
3. D-Link DIR-619L
Vulnerabilidades muito recentes
- CVE-2025-4454 (08/05/2025): Vulnerabilidade crítica no firmware 2.04B04, afetando a função wake_on_lan. A manipulação de argumentos permite execução remota de código, possibilitando o controle total do roteador.
- CVE-2025-4453 (09/05/2025): Injeção remota de comandos no mesmo firmware, explorável via manipulação de parâmetros, permitindo que atacantes executem comandos arbitrários.
- CVE-2025-4452 (09/05/2025): Estouro de buffer na função formSetWizard2, que pode ser explorado remotamente para comprometer o roteador.
- CVE-2025-4449 (09/05/2025): Estouro de buffer na função EasySetupWizard3, presente em firmware não suportados, permitindo execução de código malicioso.
Possíveis impactos:
De forma bastante resumida, essas vulnerabilidades permitem que atacantes:
- Executem comandos remotamente, comprometendo completamente o roteador.
- Alterem configurações, como senhas Wi-Fi ou regras de firewall.
- Obtenham credenciais de administrador, possibilitando o controle total do dispositivo.
- Realizem ataques de rede, como redirecionamento de tráfego ou monitoramento de dados.
- Obtenham controle total do roteador incluindo alterações de configuração e execução de código malicioso.
- Realizem sequestro de sessões administrativas, comprometendo a segurança da rede.
O que fazer?
Infelizmente não há muito que possa ser feito que permita continuar utilizando esses equipamentos. A única solução definitiba é comprar um roteador moderno de um fabricante que ofereça suporte contínuo e atualizações regulares. Algumas ações configurações de segurança podem ajudar a reduzir um pouco o problema. De forma genérica, são elas:
- Instalar o firmware mais recente disponível para o roteador.
- Desativar o acesso remoto ao painel de administração.
- Usar senhas fortes e exclusivas para o roteador e a rede Wi-Fi.
- Desativar recursos como UPnP e WPS, que são alvos comuns de exploits.
- Considerar usar um firewall ou software de monitoramento de rede.
- Configurar redes separadas para dispositivos móveis e IoT, separando dos computadores para limitar o impacto de um eventual roteador comprometido.
Observações:
Conforme mencionado, estamos discutindo aqui as vulnerabilidades que estão sendo exploradas em roteadores D-Link D-Link DIR-600L, DIR-605L e DIR-619L nas últimas 72 horas, no momento de elaboração desse artigo. Existem diversos outros modelos de roteadores D-Link com problemas de vulnerabilidades. Porém, tais modelos continuam com o ciclo de vida ativo e recebem atualizações de segurança. Para uma busca completa de vulnerabilidades que estejam afetando os dispositivos D-Link, classificadas das mais recentes para as mais antigas, utilize essa [BUSCA] que irá abrir em outra janela.
Conclusão
Apesar da ausência de estatísticas precisas, pelas nossas obaservações, é plausível estimar que uma quantidade significativa de roteadores dos modelos D-Link DIR-600L, DIR-605L e DIR-619L permaneça em operação, particularmente em mercados emergentes, em função do seu baixo custo e das funcionalidades básicas que oferecem. No entanto, esses equipamentos encontram-se tecnicamente obsoletos e apresentam vulnerabilidades de segurança conhecidas e críticas.
Diante desse cenário, recomenda-se fortemente sua substituição por dispositivos mais modernos, que contem com atualizações de firmware e suporte contínuo por parte do fabricante. A manutenção desses modelos em redes ativas representa um vetor considerável de risco à segurança da informação.
Adriano Mauro Cansian, Doutor em Física Computacional e Professor Associado e pesquisador da UNESP – Universidade Estadual Paulista, possui 30 anos de experiência em pesquisa, desenvolvimento e ensino de segurança cibernética. Fundador e coordenador do Laboratório ACME! Cybersecurity Research, e revisor das revistas “Computers & Security” e “International Journal of Forensic Computer Science“, consultor e membro de vários comitês e organizações técnicas para promover a pesquisa em segurança da informação, além de atuar como voluntário em organizações de governança da Internet.