Хакери използват критична уязвимост, която засяга всички рутери D-Link DIR-859 WiFi, за да събират информация за акаунти от устройството, включително пароли.

Проблемът със сигурността е разкрит през януари и в момента се проследява като CVE-2024-0769 (оценка на сериозността 9,8) – недостатък при обхождане на пътища, който води до разкриване на информация.

Въпреки че моделът на D-Link DIR-859 WiFi рутер е достигнал края на жизнения цикъл (EoL) и вече не получава никакви актуализации, производителят все пак публикува консултация по сигурността, в която се обяснява, че недостатъкът съществува във файла „fatlady.php“ на устройството, засяга всички версии на фърмуера и позволява на атакуващите да изпуснат данни за сесията, да постигнат повишаване на привилегиите и да получат пълен контрол чрез панела за управление.

Не се очаква D-Link да пусне кръпка за отстраняване на CVE-2024-0769, така че собствениците на устройството трябва да преминат към поддържано устройство възможно най-скоро.

Открита  експлоатация

Платформата за наблюдение на заплахи GreyNoise е наблюдавала активна експлоатация на CVE-2024-0769 в атаки, които разчитат на лека вариация на публичния експлойт.

// main
if (strcmp($s0, „captcha.cgi“) == 0)
{
$t9 = captchacgi_main;
argc_1 = argc;
}
else if (strcmp($s0, „hedwig.cgi“) == 0)
{
$t9 = hedwigcgi_main;
argc_1 = argc;
}
else if (strcmp($s0, „pigwidgeon.cgi“) == 0)
{
$t9 = pigwidgeoncgi_main;
argc_1 = argc;
}

Изследователите обясняват, че хакерите се насочват към файла „DEVICE.ACCOUNT.xml“, за да изхвърлят всички имена на акаунти, пароли, потребителски групи и описания на потребители, налични в устройството.

Атаката използва злонамерена POST заявка към ‘/hedwig.cgi’, експлоатирайки CVE-2024-0769, за да получи достъп до чувствителни конфигурационни файлове (‘getcfg’) чрез файла ‘fatlady.php’, който потенциално съдържа потребителски данни.

// hedwigcgi_main
/* Payload is checked to contain postxml */
pcVar1 = strstr(DAT_00437430,“<postxml>“);
/* Copy parent XML node (module) */
if (pcVar1 != (char *)0x0) {
fprintf(pFVar3,“%s\n“,pcVar1);
}
ppcVar7 = local_4bc + iVar9;
/* Close all XML nodes */
do {
iVar5 = iVar5 + -1;
fprintf(pFVar3,“</%s>\n“,*ppcVar7);
ppcVar7 = ppcVar7 + -1;
} while (0 < iVar5);
/* Flush output to disk as temp file */
fflush(pFVar3);
/* Read the file through xmldbc and remove temp file */
xmldbc_read((char *)0x0,2,“/var/tmp/temp.xml“);
iVar5 = fileno(pFVar3);
lockf(iVar5,0,0);
fclose(pFVar3);
remove(„/var/tmp/temp.xml“);
puVar4 = sobj_get_string(iVar2);
/* Where the magic happens */
/* User-controlled <service> node is formatted for fatlady.php */
snprintf(acStack_428,0x400,“/htdocs/webinc/fatlady.php\nprefix=%s/%s\nPrivateKey=%s\n“,
„/runtime/session“,puVar4,privatekey);
/* Execute the PHP file */
xmldbc_ephp((char *)0x0,0,acStack_428,_stdout);

GreyNoise не е определила мотивацията на нападателите, но насочването към потребителските пароли показва намерение да се извърши превземане на устройството, като по този начин нападателят получи пълен контрол над него.

„Засега не е ясно какво е предназначението на тази разкрита информация, като трябва да се отбележи, че тези устройства никога няма да получат поправка“, обясняват изследователите.

„Всяка информация, разкрита от устройството, ще остане ценна за атакуващите през целия живот на устройството, докато то е насочено към интернет.“ – пишат  от GreyNoise

От GreyNoise отбелязват, че публичният експлойт за доказване на концепцията, на който разчитат настоящите атаки, е насочен към файла „DHCPS6.BRIDGE-1.xml“ вместо към „DEVICE.ACCOUNT.xml“, така че може да се използва за насочване към други конфигурационни файлове, включително:

  • ACL.xml.php
  • ROUTE.STATIC.xml.php
  • INET.WAN-1.xml.php
  • WIFI.WLAN-1.xml.php

Тези файлове могат да разкрият конфигурации за списъци за контрол на достъпа (ACL), NAT, настройки на защитната стена, акаунти на устройства и диагностика, така че защитниците трябва да знаят, че те са потенциални цели за експлоатация.

GreyNoise предоставя по-голям списък с файлове, които могат да бъдат задействани при атаки, използващи CVE-2024-0769. Това трябва да послужи на защитниците като сървър в случай на поява на други варианти.

ACL.xml.php MULTICAST.xml.php
BRIDGE.xml.php NAT.xml.php
BWC.xml.php NETSNIPER.NAT-1.xml.php
CALLMGR.xml.php PFWD.NAT-1.xml.php
CALL.MISSED.xml.php PFWD.NAT-2.xml.php
DDNS4.INF.xml.php PHYINF.BRIDGE-1.xml.php
DDNS4.WAN-1.xml.php PHYINF.LAN-1.xml.php
DDNS4.WAN-2.xml.php PHYINF.WAN-1.xml.php
DDNS4.WAN-3.xml.php PHYINF.WIFI.xml.php
DEVICE.ACCOUNT.xml.php PORTT.NAT-1.xml.php
DEVICE.DIAGNOSTIC.xml.php QOS.xml.php
DEVICE.HOSTNAME.xml.php ROUTE6.DYNAMIC.xml.php
DEVICE.LAYOUT.xml.php ROUTE6.STATIC.xml.php
DEVICE.LOG.xml.php ROUTE.DESTNET.xml.php
DEVICE.PASSTHROUGH.xml.php ROUTE.IPUNNUMBERED.xml.php
DEVICE.RDNSS.xml.php ROUTE.STATIC.xml.php
DEVICE.TIME.xml.php RUNTIME.CLIENTS.xml.php
DHCPS4.BRIDGE-1.xml.php RUNTIME.CONNSTA.xml.php
DHCPS4.INF.xml.php RUNTIME.DDNS4.WAN-1.xml.php
DHCPS4.LAN-1.xml.php RUNTIME.DEVICE.xml.php
DHCPS4.LAN-2.xml.php RUNTIME.DFS.xml.php
DHCPS6.BRIDGE-1.xml.php RUNTIME.INF.BRIDGE-1.xml.php
DHCPS6.INF.xml.php RUNTIME.INF.LAN-1.xml.php
DHCPS6.LAN-1.xml.php RUNTIME.INF.LAN-2.xml.php
DHCPS6.LAN-2.xml.php RUNTIME.INF.LAN-4.xml.php
DHCPS6.LAN-3.xml.php RUNTIME.INF.LAN-5.xml.php
DHCPS6.LAN-4.xml.php RUNTIME.INF.LAN-6.xml.php
DMZ.NAT-1.xml.php RUNTIME.INF.WAN-1.xml.php
DMZ.NAT-2.xml.php RUNTIME.INF.WAN-2.xml.php
DNS4.INF.xml.php RUNTIME.INF.WAN-3.xml.php
DNS4.LAN-1.xml.php RUNTIME.INF.WAN-4.xml.php
DNS4.LAN-2.xml.php RUNTIME.INF.xml.php
FDISK.xml.php RUNTIME.LOG.xml.php
FIREWALL-2.xml.php RUNTIME.OPERATOR.xml.php
FIREWALL-3.xml.php RUNTIME.PHYINF.ETH-1.xml.php
FIREWALL6.xml.php RUNTIME.PHYINF.ETH-2.xml.php
FIREWALL.xml.php RUNTIME.PHYINF.ETH-3.xml.php
HTTP.WAN-1.xml.php RUNTIME.PHYINF.WLAN-1.xml.php
HTTP.WAN-2.xml.php RUNTIME.PHYINF.WLAN-2.xml.php
HTTP.WAN-3.xml.php RUNTIME.PHYINF.xml.php
ICMP.WAN-1.xml.php RUNTIME.ROUTE.DYNAMIC.xml.php
ICMP.WAN-2.xml.php RUNTIME.TIME.xml.php
ICMP.WAN-3.xml.php RUNTIME.TTY.xml.php
INET.BRIDGE-1.xml.php RUNTIME.UPNP.PORTM.xml.php
INET.INF.xml.php RUNTIME.WPS.WLAN-1.xml.php
INET.LAN-1.xml.php SCHEDULE.xml.php
INET.LAN-2.xml.php SMS.SEND.xml.php
INET.LAN-3.xml.php SMS.xml.php
INET.LAN-4.xml.php STARSPEED.WAN-1.xml.php
INET.LAN-5.xml.php UPNP.BRIDGE-1.xml.php
INET.LAN-6.xml.php UPNP.LAN-1.xml.php
INET.WAN-1.xml.php UPNP.LAN-3.xml.php
INET.WAN-2.xml.php URLCTRL.xml.php
INET.WAN-3.xml.php VSVR.NAT-1.xml.php
INET.WAN-4.xml.php VSVR.NAT-2.xml.php
INET.WAN-5.xml.php WAN.RESTART.xml.php
INET.xml.php WAN.xml.php
INF.xml.php WIFI.PHYINF.xml.php
IUM.xml.php WIFI.WLAN-1.xml.php
LAN.xml.php WIFI.WLAN-2.xml.php
MACCTRL.xml.php WIFI.xml.php

 

Източник: GreyNoise

Източник: e-security.bg

Подобни публикации

18 февруари 2025

Infostealer е открит в американски военни и отб...

Израелската фирма за киберсигурност Hudson Rock твърди, че в америк...
18 февруари 2025

Десетки италиански уебсайтове са обект на руски...

По данни на италианската национална агенция за киберсигурност ACN о...
18 февруари 2025

Киберпрестъпниците крадат мощта на ИИ, а вие пл...

Атакуващите използват големи езикови модели (LLM) в т.нар. експлойт...
18 февруари 2025

Cisco: Новите смарт суичове осигуряват следващо...

Cisco твърди, че новите интелигентни суичове и решения за защитна с...
17 февруари 2025

Японски художник излага оковано във верига куче...

Изложба в галерия в Токио, в която оковано във верига куче-робот се...
17 февруари 2025

Русия насочва организациите към фишинг с код на...

Свързана с Русия заплаха, проследена като Storm-2372, е насочена къ...
17 февруари 2025

Полицията конфискува 127 сървъра на непробиваем...

Дни след като няколко правителства обявиха санкции срещу услугата з...
Бъдете социални
Още по темата
11/02/2025

120 хил. жертви са компроме...

В Бейнбридж, щата Джорджия, малката болница...
10/02/2025

Уязвимост на Orthanc е риск...

Според изследовател критична уязвимост, която може...
09/02/2025

HPE уведомява за нарушение ...

Hewlett Packard Enterprise (HPE) уведомява служителите,...
Последно добавени
18/02/2025

Infostealer е открит в амер...

Израелската фирма за киберсигурност Hudson Rock...
18/02/2025

Десетки италиански уебсайто...

По данни на италианската национална агенция...
18/02/2025

Киберпрестъпниците крадат м...

Атакуващите използват големи езикови модели (LLM)...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!