Hackers εκμεταλλεύονται μια κρίσιμη ευπάθεια που επηρεάζει όλους τους D-Link DIR-859 WiFi routers και επιτρέπει την κλοπή στοιχείων λογαριασμού, συμπεριλαμβανομένων των κωδικών πρόσβασης.
Η ευπάθεια παρακολουθείται ως CVE-2024-0769 (βαθμολογία σοβαρότητας 9,8) και είναι ένα σφάλμα “path traversal” που οδηγεί σε αποκάλυψη πληροφοριών.
Αξίζει να σημειωθεί ότι το μοντέλο DIR-859 WiFi router έχει φτάσει στο τέλος του κύκλου ζωής του (EoL), το οποίο σημαίνει ότι η D-Link δεν κυκλοφορεί πλέον ενημερώσεις γι’ αυτό. Ωστόσο, κυκλοφόρησε ένα security advisory και εξήγησε ότι η ευπάθεια υπάρχει στο αρχείο “fatlady.php” της συσκευής. Επηρεάζει όλες τις εκδόσεις firmware και επιτρέπει στους εισβολείς να διαρρεύσουν session data, να επιτύχουν αύξηση προνομίων και να αποκτήσουν πλήρη έλεγχο της συσκευής μέσω του πίνακα διαχείρισης.
Δείτε επίσης: Κρίσιμη ευπάθεια θέτει σε κίνδυνο D-Link routers
Η D-Link δεν αναμένεται να κυκλοφορήσει κάποια διόρθωση για την ευπάθεια CVE-2024-0769. Επομένως, οι χρήστες θα πρέπει να χρησιμοποιήσουν ένα νεότερο μοντέλο router, που υποστηρίζεται από την εταιρεία, αν θέλουν να παραμείνουν ασφαλείς.
Hackers εκμεταλλεύονται ήδη την ευπάθεια
Η πλατφόρμα παρακολούθησης απειλών GreyNoise έχει παρατηρήσει την ενεργή εκμετάλλευση της ευπάθειας CVE-2024-0769, μέσω μιας μικρής παραλλαγής ενός δημόσιου exploit.
Οι ερευνητές εξηγούν ότι οι επιτιθέμενοι στοχεύουν το αρχείο «DEVICE.ACCOUNT.xml» για να κλέψουν όλα τα ονόματα λογαριασμών, τους κωδικούς πρόσβασης, τις ομάδες χρηστών και τις περιγραφές χρηστών που υπάρχουν στη συσκευή. Η επίθεση αξιοποιεί ένα κακόβουλο POST request στο ‘/hedwig.cgi’, για πρόσβαση σε ευαίσθητα αρχεία διαμόρφωσης (“getcfg”) μέσω του αρχείου “fatlady.php”, το οποίο ενδεχομένως περιέχει διαπιστευτήρια χρήστη.
Με την κλοπή των κωδικών πρόσβασης, οι hackers προσπαθούν πιθανότατα να πάρουν τον έλεγχο της ευάλωτης συσκευής.
“Οποιεσδήποτε πληροφορίες αποκαλύπτονται από τη συσκευή θα παραμείνουν πολύτιμες για τους εισβολείς για όλη τη διάρκεια ζωής της συσκευής, όσο παραμένει ανοιχτή στο διαδίκτυο“, εξήγησε η GreyNoise.
Δείτε επίσης: ASUS: Κρίσιμη ευπάθεια επηρεάζει επτά routers
Η GreyNoise λέει ότι το public proof-of-concept exploit που χρησιμοποιούν οι hackers, στοχεύει το αρχείο “DHCPS6.BRIDGE-1.xml” αντί για το “DEVICE.ACCOUNT.xml“, ώστε να μπορεί να χρησιμοποιηθεί για τη στόχευση άλλων αρχείων διαμόρφωσης , συμπεριλαμβανομένων:
- ACL.xml.php
- ROUTE.STATIC.xml.php
- INET.WAN-1.xml.php
- WIFI.WLAN-1.xml.php
Αυτά τα αρχεία θα μπορούσαν να εκθέσουν διαμορφώσεις για access control lists (ACL), NAT, ρυθμίσεις τείχους προστασίας, λογαριασμούς συσκευών και διαγνωστικά. Επομένως, οι υπερασπιστές θα πρέπει να γνωρίζουν ότι αποτελούν πιθανούς στόχους για εκμετάλλευση.
Δείτε επίσης: TP-Link: Κρίσιμη ευπάθεια στο gaming router Archer C5400X
Οι συσκευές, που δεν λαμβάνουν πια ενημερώσεις (EoL), αποτελούν κοινό στόχο για επιθέσεις στον κυβερνοχώρο, καθώς είναι και παραμένουν ευάλωτες. Αυτό θέτει τους χρήστες σε κίνδυνο, καθώς ενδέχεται να μην γνωρίζουν τις πιθανές απειλές και τα τρωτά σημεία που θα μπορούσαν να θέσουν σε κίνδυνο τις συσκευές τους.
Η ευπάθεια CVE-2020-24586 σε D-Link DIR-859 routers υπογραμμίζει τη σημασία της αναβάθμισης σε συσκευές που υποστηρίζονται από τους προμηθευτές. Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, είναι σημαντικό για τους χρήστες να ενημερώνονται για πιθανές απειλές και να λαμβάνουν τις απαραίτητες προφυλάξεις για την προστασία των προσωπικών τους δεδομένων και του απορρήτου τους. Με μερικά απλά βήματα, οι χρήστες μπορούν να προστατεύσουν καλύτερα τις συσκευές τους και να ελαχιστοποιήσουν τον κίνδυνο να στοχοποιηθούν από hackers.
Πηγή: www.bleepingcomputer.com
){kind=link}