Hackerii exploatează o vulnerabilitate critică care afectează toate routerele WiFi D-Link DIR-859 pentru a colecta informații de cont de pe dispozitiv, inclusiv parole.
Problema de securitate a fost dezvăluită în ianuarie și este în prezent urmărită ca CVE-2024-0769 (9.8 scor de gravitate) – o defecțiune de traversare a căii care duce la dezvăluirea informațiilor.
Deși modelul de router D-Link DIR-859 a ajuns la sfârșitul ciclului de viață (EoL) și nu mai primește nicio actualizare, vendorul a lansat totuși un avertisment de securitate explicând că defecțiunea există în fișierul „fatlady.php” al dispozitivului, afectează toate versiunile de firmware și permite atacatorilor să scurgă datele de sesiune, să obțină escaladarea privilegiilor și să obțină controlul complet prin panoul de administrare.
D-Link nu are de gând să lanseze un patch de remediere pentru CVE-2024-0769, astfel că proprietarii dispozitivului ar trebui să treacă cât mai curând posibil la un dispozitiv suportat.
Platforma de monitorizare a amenințărilor GreyNoise a observat exploatarea activă a CVE-2024-0769 în atacuri care se bazează pe o ușoară variație a exploitului public.
Cercetătorii explică că hackerii vizează fișierul ‘DEVICE.ACCOUNT.xml’ pentru a descărca toate numele de conturi, parolele, grupurile de utilizatori și descrierile utilizatorilor prezente pe dispozitiv.
Atacul folosește o cerere POST malițioasă către ‘/hedwig.cgi’, exploatând CVE-2024-0769 pentru a accesa fișierele de configurare sensibile (‘getcfg’) prin fișierul ‘fatlady.php’, care conține potențial date de autentificare a utilizatorilor.
GreyNoise nu a determinat motivul atacatorilor, dar orientarea către parolele utilizatorilor arată o intenție de preluare a dispozitivului, oferind astfel atacatorului control complet asupra dispozitivului.
„La acest moment nu este clar care este utilizarea intenționată a acestei informații dezvăluite, trebuie menționat că aceste dispozitive nu vor primi niciodată un patch”, explică cercetătorii.
„Orice informație dezvăluită de pe dispozitiv va rămâne valoroasă pentru atacatori pe toată durata de viață a dispozitivului atâta timp cât acesta rămâne expus pe internet” – GreyNoise
GreyNoise subliniază că exploitul public de tip proof-of-concept, pe care se bazează atacurile actuale, vizează fișierul ‘DHCPS6.BRIDGE-1.xml’ în loc de ‘DEVICE.ACCOUNT.xml’, astfel că ar putea fi folosit pentru a viza și alte fișiere de configurare, inclusiv:
Aceste fișiere ar putea expune configurații pentru liste de control de acces (ACL-uri), NAT, setările firewall-ului, conturile dispozitivului și diagnosticare, astfel că apărătorii ar trebui să fie conștienți de faptul că acestea ar putea fi ținte potențiale pentru exploatare.
GreyNoise pune la dispoziție o listă mai mare de fișiere care ar putea fi invocate în atacuri care exploatează CVE-2024-0769. Acest lucru ar trebui să ajute apărătorii în cazul în care apar alte variații.
Vulnerabilitatea de traversare a căii a SolarWinds Serv-U este activ exploatată în atacuri
ASUS avertizează cu privire la o defecțiune critică de bypassare a autentificării la distanță pe 7 routere
Defecțiunile Netgear WNR614 permit preluarea dispozitivului, fără nicio soluție disponibilă
Malware-ul botnet a blocat 600.000 de routere într-un atac misterios din 2023
Zero-day-ul VPN Check Point este exploatat în atacuri începând cu 30 aprilie
Leave a Reply