Af Eskil Sørensen, 02/07/24
Researchere har observeret udnyttelsesforsøg mod D-Link DIR-859 WiFi-routere, der er påvirket af en kritisk sårbarhed.
Det skriver Security Affairs med henvisning til en analyse fra sikkerhedsfirmaet GreyNoise.
Sårbarheden har id’et CVE-2024-0769 og en CVSS-score 9,8.
Der er tale om en ”path traversal”-sårbarhed, der kan føre til videregivelse af oplysninger. Konkret skal trusselsaktører kunne udnytte fejlen til at indsamle kontooplysninger, herunder adgangskoder, fra de sårbare D-Link DIR-859 WiFi-routere, fremgår det af Security Affairs’ omtale af sagen.
Hvad mere prekært er, at routere i DIR-859-generationen har nået deres End of Life, hvorfor fejlen ”sandsynligvis” ikke blive rettet. Det er dog tidligere set, at EOL-produkter har fået nødopdateringer, hvis fejlen har vist sig kritisk nok.
GreyNoise har angiveligt observeret angribere, der gik efter filen 'DEVICE.ACCOUNT.xml' for at udtrække alle kontonavne, adgangskoder, brugergrupper og brugerbeskrivelser på enheden. Angriberne bruger en modificeret version af den PoC-udnyttelse, der er offentligt tilgængelig. Den offentlige PoC-udnyttelse retter sig mod filen 'DHCPS6.BRIDGE-1.xml' i stedet for 'DEVICE.ACCOUNT.xml'. Af denne grund kan angribere bruge den til at angribe andre filer, hedder det.
Angriberne udnytter fejlen ved at sende en ondsindet POST-anmodning til '/hedwig.cgi' for at få adgang til følsomme konfigurationsfiler ('getcfg') via 'fatlady.php'-filen, hvilket potentielt leaser til eksponeringen af brugerens legitimationsoplysninger.
Når først angriberne har fået legitimationsoplysningerne, kan de potentielt tage fuld kontrol over enheden.
D-Link-kunder anbefales at udskifte EoL-enhederne så hurtigt som muligt.
Links:
https://securityaffairs.com/165045/hacking/d-link-dir-859-actively-exploited.html