该安全问题于一月份表露,目前编号为CVE-2024-0769 (严重程度评分为 9.8),这是一个导致信息透露的路径遍历漏洞。
只管 D-Link DIR-859 WiFi路由器型号已到达利用寿命(EoL)并且不再吸收任何更新,但该供应商仍旧发布了安全公告 ,阐明称该漏洞存在于设备的“fatlady.php”文件中,影响所有固件版本,并许可攻击者透露会话数据,实现权限提升,并通过管理面板得到完备掌握权。
D-Link 估量不会发布针对 CVE-2024-0769 的修复补丁,因此该设备的所有者应尽快切换到受支持的设备。
检测到的利用活动
威胁监控平台 GreyNoise 不雅观察到,在依赖于公开漏洞的细微变种的攻击中,CVE-2024-0769 遭到积极利用。
研究职员阐明说,黑客的目标是“DEVICE.ACCOUNT.xml”文件,以转储设备上的所有帐户名、密码、用户组和用户描述。
检索到的配置文件内容,来源:GreyNoise
该攻击利用对“/hedwig.cgi”的恶意 POST 要求,利用 CVE-2024-0769 通过“fatlady.php”文件访问敏感配置文件(“getcfg”),该文件可能包含用户凭据。
恶意 POST 要求,来源:GreyNoise
GreyNoise 尚未确定攻击者的动机,但针对用户密码的攻击表明其意图进行设备接管,从而使攻击者完备掌握设备。
研究职员阐明说:“目前尚不清楚这些表露信息的预期用场是什么,须要把稳的是,这些设备永久不会收到补丁。只要设备一贯面向互联网,从设备中透露的任何信息在设备的全体生命周期内都将对攻击者有代价”
GreyNoise 指出,当前攻击所依赖的公开观点验证漏洞针对的是“DHCPS6.BRIDGE-1.xml”文件,而不是“DEVICE.ACCOUNT.xml”,因此它可以用于攻击其他配置文件,包括:
ACL.xml.phpROUTE.STATIC.xml.phpINET.WAN-1.xml.phpWIFI.WLAN-1.xml.php这些文件可能会暴露访问掌握列表 (ACL)、NAT、防火墙设置、设备帐户和诊断的配置,因此防御者该当意识到它们是潜在的利用目标。
GreyNoise 供应了可在利用 CVE-2024-0769 的攻击中调用的文件的更大列表。如果发生其他变体,这该当可以为防御者供应帮助。
参考链接:
https://www.bleepingcomputer.com/news/security/hackers-exploit-critical-d-link-dir-859-router-flaw-to-steal-passwords/
