Vulnerabilitate critică în cadrul router-ului D-Link DIR-859
https://www.bleepingcomputer.com
Atacatorii exploatează o vulnerabilitate critică ce afectează toate router-ele WiFi D-Link DIR-859 cu scopul de a colecta informații despre conturi de pe dispozitiv, inclusiv parole.
Vulnerabilitatea a fost dezvăluită în luna ianuarie și este urmărită ca CVE-2024-0769 (scor de severitate 9.8) fiind vorba de o eroare de tip path traversal ce permite divulgarea de informații.
Deși modelul de router WiFi D-Link DIR-859 a ajuns la sfârșitul ciclului de viață (EoL) și nu mai primește actualizări, producătorul a publicat un avizat de securitate în care explică faptul că vulnerabilitatea se regăsește în fișierul fatlady.php afectând toate versiunile de firmware.
Exploatarea cu succes a acesteia permite atacatorilor să obțină date despre sesiune (session data), escaladarea privilegiilor și să obțină controlul complet prin intermediul panoului de administrare.
Specialiștii în securitate cibernetică au explicat faptul că atacatorii vizează fișierul DEVICE.ACCOUNT.xml pentru a descărca toate numele conturilor, parolele, grupurile de utilizatori și descrierile utilizatorilor prezente pe dispozitiv.
Atacul se bazează pe o cerere POST malițioasă către /hedwig.cgi, exploatând CVE-2024-0769 pentru a accesa fișiere de configurare sensibile (getcfg) prin intermediul fișierului fatlady.php, care poate conține datele de identificare ale utilizatorului.
Specialistul în securitate cibernetică GreyNoise a remarcat faptul că detalierea modalității de exploatare vizează fișierul DHCPS6.BRIDGE-1.xml în loc de DEVICE.ACCOUNT.xml, deci ar putea fi folosit pentru a viza și alte fișiere de configurare, inclusiv:
- ACL.xml.php
- ROUTE.STATIC.xml.php
- INET.WAN-1.xml.php
- WIFI.WLAN-1.xml.php
Aceste fișiere ar putea expune configurații pentru liste de control al accesului (ACL), NAT, setări de firewall și conturi de dispozitive.
Utilizatorilor și administratorilor li se recomandă upgrade-ul la un dispozitiv care beneficiază de actualizări deoarece modelul D-Link DIR-859 a ajuns la sfârșitul ciclului de viață.
Sursă: https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-d-link-dir-859-router-flaw-to-steal-passwords/
