Търсене
Close this search box.

Хакери използват критична уязвимост, която засяга всички рутери D-Link DIR-859 WiFi, за да събират информация за акаунти от устройството, включително пароли.

Проблемът със сигурността е разкрит през януари и в момента се проследява като CVE-2024-0769 (оценка на сериозността 9,8) – недостатък при обхождане на пътища, който води до разкриване на информация.

Въпреки че моделът на D-Link DIR-859 WiFi рутер е достигнал края на жизнения цикъл (EoL) и вече не получава никакви актуализации, производителят все пак публикува консултация по сигурността, в която се обяснява, че недостатъкът съществува във файла „fatlady.php“ на устройството, засяга всички версии на фърмуера и позволява на атакуващите да изпуснат данни за сесията, да постигнат повишаване на привилегиите и да получат пълен контрол чрез панела за управление.

Не се очаква D-Link да пусне кръпка за отстраняване на CVE-2024-0769, така че собствениците на устройството трябва да преминат към поддържано устройство възможно най-скоро.

Открита  експлоатация

Платформата за наблюдение на заплахи GreyNoise е наблюдавала активна експлоатация на CVE-2024-0769 в атаки, които разчитат на лека вариация на публичния експлойт.

// main
if (strcmp($s0, „captcha.cgi“) == 0)
{
$t9 = captchacgi_main;
argc_1 = argc;
}
else if (strcmp($s0, „hedwig.cgi“) == 0)
{
$t9 = hedwigcgi_main;
argc_1 = argc;
}
else if (strcmp($s0, „pigwidgeon.cgi“) == 0)
{
$t9 = pigwidgeoncgi_main;
argc_1 = argc;
}

Изследователите обясняват, че хакерите се насочват към файла „DEVICE.ACCOUNT.xml“, за да изхвърлят всички имена на акаунти, пароли, потребителски групи и описания на потребители, налични в устройството.

Атаката използва злонамерена POST заявка към ‘/hedwig.cgi’, експлоатирайки CVE-2024-0769, за да получи достъп до чувствителни конфигурационни файлове (‘getcfg’) чрез файла ‘fatlady.php’, който потенциално съдържа потребителски данни.

// hedwigcgi_main
/* Payload is checked to contain postxml */
pcVar1 = strstr(DAT_00437430,“<postxml>“);
/* Copy parent XML node (module) */
if (pcVar1 != (char *)0x0) {
fprintf(pFVar3,“%s\n“,pcVar1);
}
ppcVar7 = local_4bc + iVar9;
/* Close all XML nodes */
do {
iVar5 = iVar5 + -1;
fprintf(pFVar3,“</%s>\n“,*ppcVar7);
ppcVar7 = ppcVar7 + -1;
} while (0 < iVar5);
/* Flush output to disk as temp file */
fflush(pFVar3);
/* Read the file through xmldbc and remove temp file */
xmldbc_read((char *)0x0,2,“/var/tmp/temp.xml“);
iVar5 = fileno(pFVar3);
lockf(iVar5,0,0);
fclose(pFVar3);
remove(„/var/tmp/temp.xml“);
puVar4 = sobj_get_string(iVar2);
/* Where the magic happens */
/* User-controlled <service> node is formatted for fatlady.php */
snprintf(acStack_428,0x400,“/htdocs/webinc/fatlady.php\nprefix=%s/%s\nPrivateKey=%s\n“,
„/runtime/session“,puVar4,privatekey);
/* Execute the PHP file */
xmldbc_ephp((char *)0x0,0,acStack_428,_stdout);

GreyNoise не е определила мотивацията на нападателите, но насочването към потребителските пароли показва намерение да се извърши превземане на устройството, като по този начин нападателят получи пълен контрол над него.

„Засега не е ясно какво е предназначението на тази разкрита информация, като трябва да се отбележи, че тези устройства никога няма да получат поправка“, обясняват изследователите.

„Всяка информация, разкрита от устройството, ще остане ценна за атакуващите през целия живот на устройството, докато то е насочено към интернет.“ – пишат  от GreyNoise

От GreyNoise отбелязват, че публичният експлойт за доказване на концепцията, на който разчитат настоящите атаки, е насочен към файла „DHCPS6.BRIDGE-1.xml“ вместо към „DEVICE.ACCOUNT.xml“, така че може да се използва за насочване към други конфигурационни файлове, включително:

  • ACL.xml.php
  • ROUTE.STATIC.xml.php
  • INET.WAN-1.xml.php
  • WIFI.WLAN-1.xml.php

Тези файлове могат да разкрият конфигурации за списъци за контрол на достъпа (ACL), NAT, настройки на защитната стена, акаунти на устройства и диагностика, така че защитниците трябва да знаят, че те са потенциални цели за експлоатация.

GreyNoise предоставя по-голям списък с файлове, които могат да бъдат задействани при атаки, използващи CVE-2024-0769. Това трябва да послужи на защитниците като сървър в случай на поява на други варианти.

ACL.xml.php MULTICAST.xml.php
BRIDGE.xml.php NAT.xml.php
BWC.xml.php NETSNIPER.NAT-1.xml.php
CALLMGR.xml.php PFWD.NAT-1.xml.php
CALL.MISSED.xml.php PFWD.NAT-2.xml.php
DDNS4.INF.xml.php PHYINF.BRIDGE-1.xml.php
DDNS4.WAN-1.xml.php PHYINF.LAN-1.xml.php
DDNS4.WAN-2.xml.php PHYINF.WAN-1.xml.php
DDNS4.WAN-3.xml.php PHYINF.WIFI.xml.php
DEVICE.ACCOUNT.xml.php PORTT.NAT-1.xml.php
DEVICE.DIAGNOSTIC.xml.php QOS.xml.php
DEVICE.HOSTNAME.xml.php ROUTE6.DYNAMIC.xml.php
DEVICE.LAYOUT.xml.php ROUTE6.STATIC.xml.php
DEVICE.LOG.xml.php ROUTE.DESTNET.xml.php
DEVICE.PASSTHROUGH.xml.php ROUTE.IPUNNUMBERED.xml.php
DEVICE.RDNSS.xml.php ROUTE.STATIC.xml.php
DEVICE.TIME.xml.php RUNTIME.CLIENTS.xml.php
DHCPS4.BRIDGE-1.xml.php RUNTIME.CONNSTA.xml.php
DHCPS4.INF.xml.php RUNTIME.DDNS4.WAN-1.xml.php
DHCPS4.LAN-1.xml.php RUNTIME.DEVICE.xml.php
DHCPS4.LAN-2.xml.php RUNTIME.DFS.xml.php
DHCPS6.BRIDGE-1.xml.php RUNTIME.INF.BRIDGE-1.xml.php
DHCPS6.INF.xml.php RUNTIME.INF.LAN-1.xml.php
DHCPS6.LAN-1.xml.php RUNTIME.INF.LAN-2.xml.php
DHCPS6.LAN-2.xml.php RUNTIME.INF.LAN-4.xml.php
DHCPS6.LAN-3.xml.php RUNTIME.INF.LAN-5.xml.php
DHCPS6.LAN-4.xml.php RUNTIME.INF.LAN-6.xml.php
DMZ.NAT-1.xml.php RUNTIME.INF.WAN-1.xml.php
DMZ.NAT-2.xml.php RUNTIME.INF.WAN-2.xml.php
DNS4.INF.xml.php RUNTIME.INF.WAN-3.xml.php
DNS4.LAN-1.xml.php RUNTIME.INF.WAN-4.xml.php
DNS4.LAN-2.xml.php RUNTIME.INF.xml.php
FDISK.xml.php RUNTIME.LOG.xml.php
FIREWALL-2.xml.php RUNTIME.OPERATOR.xml.php
FIREWALL-3.xml.php RUNTIME.PHYINF.ETH-1.xml.php
FIREWALL6.xml.php RUNTIME.PHYINF.ETH-2.xml.php
FIREWALL.xml.php RUNTIME.PHYINF.ETH-3.xml.php
HTTP.WAN-1.xml.php RUNTIME.PHYINF.WLAN-1.xml.php
HTTP.WAN-2.xml.php RUNTIME.PHYINF.WLAN-2.xml.php
HTTP.WAN-3.xml.php RUNTIME.PHYINF.xml.php
ICMP.WAN-1.xml.php RUNTIME.ROUTE.DYNAMIC.xml.php
ICMP.WAN-2.xml.php RUNTIME.TIME.xml.php
ICMP.WAN-3.xml.php RUNTIME.TTY.xml.php
INET.BRIDGE-1.xml.php RUNTIME.UPNP.PORTM.xml.php
INET.INF.xml.php RUNTIME.WPS.WLAN-1.xml.php
INET.LAN-1.xml.php SCHEDULE.xml.php
INET.LAN-2.xml.php SMS.SEND.xml.php
INET.LAN-3.xml.php SMS.xml.php
INET.LAN-4.xml.php STARSPEED.WAN-1.xml.php
INET.LAN-5.xml.php UPNP.BRIDGE-1.xml.php
INET.LAN-6.xml.php UPNP.LAN-1.xml.php
INET.WAN-1.xml.php UPNP.LAN-3.xml.php
INET.WAN-2.xml.php URLCTRL.xml.php
INET.WAN-3.xml.php VSVR.NAT-1.xml.php
INET.WAN-4.xml.php VSVR.NAT-2.xml.php
INET.WAN-5.xml.php WAN.RESTART.xml.php
INET.xml.php WAN.xml.php
INF.xml.php WIFI.PHYINF.xml.php
IUM.xml.php WIFI.WLAN-1.xml.php
LAN.xml.php WIFI.WLAN-2.xml.php
MACCTRL.xml.php WIFI.xml.php

 

Източник: GreyNoise

Източник: e-security.bg

Подобни публикации

5 октомври 2024

Сривът на киберфирмата на елита от националнaта...

Сривът на IronNet: Някои твърдят, че фирмата се е сринала отчасти з...
5 октомври 2024

Рансъмуерът удря критичната инфраструктура, а р...

Финансовото въздействие на кибератака, насочена към киберфизична си...
4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
Бъдете социални
Още по темата
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
02/10/2024

Разбиване на облака: Атаки,...

Тъй като организациите все повече внедряват...
02/10/2024

Севернокорейски хакери с пр...

Професионален хакерски екип, свързан със севернокорейското...
Последно добавени
05/10/2024

Сривът на киберфирмата на е...

Сривът на IronNet: Някои твърдят, че...
05/10/2024

Рансъмуерът удря критичната...

Финансовото въздействие на кибератака, насочена към...
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!