Morten Lyhne Petersen
Otte nye kritiske sårbarheder er offentliggjort i Tenda- og D-Link-routere uden patches i sigte — men alle kræver login.
D-Link har allerede pensioneret den hårdest ramte model, og Tenda-modellerne er flere år gamle uden friske firmwareopdateringer i sigte. Otte nye CVE-numre blev publiceret i februar 2026 og dækker to forskellige angrebsteknikker i populære hjemmerouter-modeller.
Tre af hullerne sidder i D-Links DIR-823X, som er klassificeret som End of Life af producenten siden november 2024. Alle hardwarerevisioner er omfattet, og D-Link skriver i den officielle meddelelse, at modellen “bør pensioneres og udskiftes,” og at fortsat brug kan udgøre en risiko for alle øvrige enheder på netværket.
De konkrete modeller og fejltyper
De resterende fem CVE’er rammer Tendas trådløse routere — primært TX3 og TX9. Tenda TX3 har en bufferoverflow-fejl med CVSS-score 8,8 i funktionen til IP- og MAC-binding. Tilsvarende bufferoverflow i Tenda TX9 er tildelt samme score af National Vulnerability Database.
På D-Link-siden er det DIR-823X med firmware 250416, der ifølge NVDs registrering af CVE-2026-2143 lider af kommandoindsprøjtning via routerens DDNS-modul. Fejlen opstår, fordi inputfeltet ikke filtrerer linjeskift, hvilket gør det muligt at indsætte vilkårlige systemkommandoer som kører med rod-rettigheder. Fejlene kræver dog adgang som logget-ind administrator, hvilket fremgår af CVSS-vektorerne i de officielle CVE-poster.
Mirai-botnet jagter de samme modeller
Selv om de otte nye fejl ikke er observeret i aktiv brug endnu, er D-Link DIR-823X i forvejen mål for en bredere kampagne. Akamais sikkerhedshold opdagede i foråret en ny Mirai-variant, der udnytter en separat sårbarhed i samme model. Akamai beskriver fundet, hvor selskabets globale honeypot-netværk fangede angreb mod CVE-2025-29635 i marts 2026.
Angriberne fjernstyrer routerne ved at sende en POST-anmodning til et sårbart endpoint i firmwaren, og det åbner for installation af botnet-koden. Akamai bemærker, at mange brugere fortsætter med at køre udfaset hardware, fordi en router typisk kun udskiftes, når den holder helt op med at virke.
Den ekstra detalje gør de nye CVE’er endnu mere kritiske, fordi den underliggende model allerede står på botnet-operatørernes liste over interessante mål.
Hvad du selv kan gøre nu
Findes en af modellerne i dit hjem, anbefaler både D-Link og Akamai at udskifte den. Routeren modtager ingen sikkerhedsopdateringer, og en ny patch er ikke på vej, fordi udviklingsstøtten ifølge D-Links politik ophører fuldstændig ved End of Life.
Hvis udskiftning ikke er mulig her og nu, kan du reducere risikoen betydeligt ved at deaktivere fjernadgang til routerens administrationspanel og slå tjenester som DDNS og QoS fra. Det er netop de funktioner, hvor flere af de nye command injection-fejl er fundet.
Endelig bør standardkodeordet ændres, hvis det stadig er aktivt. Da samtlige af de nye CVE’er kræver et gyldigt login, er et stærkt administratorkodeord den mest umiddelbare bremse mod udnyttelse, indtil hardwaren kan blive skiftet ud.
