Исследователи из компании GreyNoise обнаружили, что злоумышленники активно используют критическую уязвимость CVE-2024-0769, которая затрагивает все Wi-Fi роутеры D-Link модели DIR-859. Эта уязвимость получила оценку 9.8 по шкале CVSS и представляет собой проблему обхода пути, способную привести к утечке информации.
Злоумышленники используют эту уязвимость для сбора данных учётных записей, включая пароли пользователей. GreyNoise отмечает, что атаки направлены на файл “DEVICE.ACCOUNT.xml”, с помощью которого извлекаются все имена учётных записей, пароли, группы пользователей и описания.
В своих атаках хакеры применяют модифицированную версию публичного эксплойта для доступа к конфигурационным файлам через “fatlady.php”. Они отправляют вредоносный POST-запрос на “hedwig.cgi”, что позволяет им получить доступ к конфигурационным файлам (“getcfg”) и потенциально к учётным данным пользователей.
После получения учётных данных, злоумышленники могут полностью контролировать устройство. Исследователи отмечают, что мотивы сбора этих данных пока неясны, однако они будут ценны для злоумышленников до тех пор, пока уязвимые устройства остаются подключенными к Интернету.
Сама компания D-Link заявляет, что роутеры серии DIR-859, впервые представленные в 2015 году, уже достигли конца своего жизненного цикла и больше не будут получать обновления безопасности. Это означает, что уязвимость останется неустраненной, а единственным способом обезопасить себя является покупка нового маршрутизатора.
Исследователи подчёркивают, что публичный PoC-эксплойт нацелен на файл “DHCPS6.BRIDGE-1.xml”, а не на “DEVICE.ACCOUNT.xml”, что позволяет злоумышленникам атаковать и другие файлы. Пост GreyNoise содержит список возможных вариаций других конфигурационных файлов, которые могут быть вызваны с помощью CVE-2024-0769.
Пользователям уязвимых роутеров рекомендуется заменить устаревшие устройства как можно скорее, чтобы избежать потенциальных угроз.