Хакери използват критична уязвимост, която засяга всички рутери D-Link DIR-859 WiFi, за да събират информация за акаунти от устройството, включително пароли.
Проблемът със сигурността е разкрит през януари и в момента се проследява като CVE-2024-0769 (оценка на сериозността 9,8) – недостатък при обхождане на пътища, който води до разкриване на информация.
Въпреки че моделът на D-Link DIR-859 WiFi рутер е достигнал края на жизнения цикъл (EoL) и вече не получава никакви актуализации, производителят все пак публикува консултация по сигурността, в която се обяснява, че недостатъкът съществува във файла „fatlady.php“ на устройството, засяга всички версии на фърмуера и позволява на атакуващите да изпуснат данни за сесията, да постигнат повишаване на привилегиите и да получат пълен контрол чрез панела за управление.
Не се очаква D-Link да пусне кръпка за отстраняване на CVE-2024-0769, така че собствениците на устройството трябва да преминат към поддържано устройство възможно най-скоро.
Платформата за наблюдение на заплахи GreyNoise е наблюдавала активна експлоатация на CVE-2024-0769 в атаки, които разчитат на лека вариация на публичния експлойт.
// main
if (strcmp($s0, „captcha.cgi“) == 0)
{
$t9 = captchacgi_main;
argc_1 = argc;
}
else if (strcmp($s0, „hedwig.cgi“) == 0)
{
$t9 = hedwigcgi_main;
argc_1 = argc;
}
else if (strcmp($s0, „pigwidgeon.cgi“) == 0)
{
$t9 = pigwidgeoncgi_main;
argc_1 = argc;
}
Изследователите обясняват, че хакерите се насочват към файла „DEVICE.ACCOUNT.xml“, за да изхвърлят всички имена на акаунти, пароли, потребителски групи и описания на потребители, налични в устройството.
Атаката използва злонамерена POST заявка към ‘/hedwig.cgi’, експлоатирайки CVE-2024-0769, за да получи достъп до чувствителни конфигурационни файлове (‘getcfg’) чрез файла ‘fatlady.php’, който потенциално съдържа потребителски данни.
// hedwigcgi_main
/* Payload is checked to contain postxml */
pcVar1 = strstr(DAT_00437430,“<postxml>“);
/* Copy parent XML node (module) */
if (pcVar1 != (char *)0x0) {
fprintf(pFVar3,“%s\n“,pcVar1);
}
ppcVar7 = local_4bc + iVar9;
/* Close all XML nodes */
do {
iVar5 = iVar5 + -1;
fprintf(pFVar3,“</%s>\n“,*ppcVar7);
ppcVar7 = ppcVar7 + -1;
} while (0 < iVar5);
/* Flush output to disk as temp file */
fflush(pFVar3);
/* Read the file through xmldbc and remove temp file */
xmldbc_read((char *)0x0,2,“/var/tmp/temp.xml“);
iVar5 = fileno(pFVar3);
lockf(iVar5,0,0);
fclose(pFVar3);
remove(„/var/tmp/temp.xml“);
puVar4 = sobj_get_string(iVar2);
/* Where the magic happens */
/* User-controlled <service> node is formatted for fatlady.php */
snprintf(acStack_428,0x400,“/htdocs/webinc/fatlady.php\nprefix=%s/%s\nPrivateKey=%s\n“,
„/runtime/session“,puVar4,privatekey);
/* Execute the PHP file */
xmldbc_ephp((char *)0x0,0,acStack_428,_stdout);
GreyNoise не е определила мотивацията на нападателите, но насочването към потребителските пароли показва намерение да се извърши превземане на устройството, като по този начин нападателят получи пълен контрол над него.
„Засега не е ясно какво е предназначението на тази разкрита информация, като трябва да се отбележи, че тези устройства никога няма да получат поправка“, обясняват изследователите.
„Всяка информация, разкрита от устройството, ще остане ценна за атакуващите през целия живот на устройството, докато то е насочено към интернет.“ – пишат от GreyNoise
От GreyNoise отбелязват, че публичният експлойт за доказване на концепцията, на който разчитат настоящите атаки, е насочен към файла „DHCPS6.BRIDGE-1.xml“ вместо към „DEVICE.ACCOUNT.xml“, така че може да се използва за насочване към други конфигурационни файлове, включително:
Тези файлове могат да разкрият конфигурации за списъци за контрол на достъпа (ACL), NAT, настройки на защитната стена, акаунти на устройства и диагностика, така че защитниците трябва да знаят, че те са потенциални цели за експлоатация.
GreyNoise предоставя по-голям списък с файлове, които могат да бъдат задействани при атаки, използващи CVE-2024-0769. Това трябва да послужи на защитниците като сървър в случай на поява на други варианти.
ACL.xml.php MULTICAST.xml.php
BRIDGE.xml.php NAT.xml.php
BWC.xml.php NETSNIPER.NAT-1.xml.php
CALLMGR.xml.php PFWD.NAT-1.xml.php
CALL.MISSED.xml.php PFWD.NAT-2.xml.php
DDNS4.INF.xml.php PHYINF.BRIDGE-1.xml.php
DDNS4.WAN-1.xml.php PHYINF.LAN-1.xml.php
DDNS4.WAN-2.xml.php PHYINF.WAN-1.xml.php
DDNS4.WAN-3.xml.php PHYINF.WIFI.xml.php
DEVICE.ACCOUNT.xml.php PORTT.NAT-1.xml.php
DEVICE.DIAGNOSTIC.xml.php QOS.xml.php
DEVICE.HOSTNAME.xml.php ROUTE6.DYNAMIC.xml.php
DEVICE.LAYOUT.xml.php ROUTE6.STATIC.xml.php
DEVICE.LOG.xml.php ROUTE.DESTNET.xml.php
DEVICE.PASSTHROUGH.xml.php ROUTE.IPUNNUMBERED.xml.php
DEVICE.RDNSS.xml.php ROUTE.STATIC.xml.php
DEVICE.TIME.xml.php RUNTIME.CLIENTS.xml.php
DHCPS4.BRIDGE-1.xml.php RUNTIME.CONNSTA.xml.php
DHCPS4.INF.xml.php RUNTIME.DDNS4.WAN-1.xml.php
DHCPS4.LAN-1.xml.php RUNTIME.DEVICE.xml.php
DHCPS4.LAN-2.xml.php RUNTIME.DFS.xml.php
DHCPS6.BRIDGE-1.xml.php RUNTIME.INF.BRIDGE-1.xml.php
DHCPS6.INF.xml.php RUNTIME.INF.LAN-1.xml.php
DHCPS6.LAN-1.xml.php RUNTIME.INF.LAN-2.xml.php
DHCPS6.LAN-2.xml.php RUNTIME.INF.LAN-4.xml.php
DHCPS6.LAN-3.xml.php RUNTIME.INF.LAN-5.xml.php
DHCPS6.LAN-4.xml.php RUNTIME.INF.LAN-6.xml.php
DMZ.NAT-1.xml.php RUNTIME.INF.WAN-1.xml.php
DMZ.NAT-2.xml.php RUNTIME.INF.WAN-2.xml.php
DNS4.INF.xml.php RUNTIME.INF.WAN-3.xml.php
DNS4.LAN-1.xml.php RUNTIME.INF.WAN-4.xml.php
DNS4.LAN-2.xml.php RUNTIME.INF.xml.php
FDISK.xml.php RUNTIME.LOG.xml.php
FIREWALL-2.xml.php RUNTIME.OPERATOR.xml.php
FIREWALL-3.xml.php RUNTIME.PHYINF.ETH-1.xml.php
FIREWALL6.xml.php RUNTIME.PHYINF.ETH-2.xml.php
FIREWALL.xml.php RUNTIME.PHYINF.ETH-3.xml.php
HTTP.WAN-1.xml.php RUNTIME.PHYINF.WLAN-1.xml.php
HTTP.WAN-2.xml.php RUNTIME.PHYINF.WLAN-2.xml.php
HTTP.WAN-3.xml.php RUNTIME.PHYINF.xml.php
ICMP.WAN-1.xml.php RUNTIME.ROUTE.DYNAMIC.xml.php
ICMP.WAN-2.xml.php RUNTIME.TIME.xml.php
ICMP.WAN-3.xml.php RUNTIME.TTY.xml.php
INET.BRIDGE-1.xml.php RUNTIME.UPNP.PORTM.xml.php
INET.INF.xml.php RUNTIME.WPS.WLAN-1.xml.php
INET.LAN-1.xml.php SCHEDULE.xml.php
INET.LAN-2.xml.php SMS.SEND.xml.php
INET.LAN-3.xml.php SMS.xml.php
INET.LAN-4.xml.php STARSPEED.WAN-1.xml.php
INET.LAN-5.xml.php UPNP.BRIDGE-1.xml.php
INET.LAN-6.xml.php UPNP.LAN-1.xml.php
INET.WAN-1.xml.php UPNP.LAN-3.xml.php
INET.WAN-2.xml.php URLCTRL.xml.php
INET.WAN-3.xml.php VSVR.NAT-1.xml.php
INET.WAN-4.xml.php VSVR.NAT-2.xml.php
INET.WAN-5.xml.php WAN.RESTART.xml.php
INET.xml.php WAN.xml.php
INF.xml.php WIFI.PHYINF.xml.php
IUM.xml.php WIFI.WLAN-1.xml.php
LAN.xml.php WIFI.WLAN-2.xml.php
MACCTRL.xml.php WIFI.xml.php
Източник: GreyNoise
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.