黑客正在利用影响所有 D-Link DIR-859 WiFi 路由器的严重漏洞来从设备收集帐户信息,包括密码。
该安全问题于一月份披露,目前编号为CVE-2024-0769 (严重程度评分为 9.8),这是一个导致信息泄露的路径遍历漏洞。
尽管 D-Link DIR-859 WiFi路由器型号已到达使用寿命(EoL)并且不再接收任何更新,但该供应商仍然发布了安全公告 ,解释称该漏洞存在于设备的“fatlady.php”文件中,影响所有固件版本,并允许攻击者泄露会话数据,实现权限提升,并通过管理面板获得完全控制权。
D-Link 预计不会发布针对 CVE-2024-0769 的修复补丁,因此该设备的所有者应尽快切换到受支持的设备。
检测到的利用活动
威胁监控平台 GreyNoise 观察到,在依赖于公开漏洞的细微变种的攻击中,CVE-2024-0769 遭到积极利用。
研究人员解释说,黑客的目标是“DEVICE.ACCOUNT.xml”文件,以转储设备上的所有帐户名、密码、用户组和用户描述。
检索到的配置文件内容,来源:GreyNoise
该攻击利用对“/hedwig.cgi”的恶意 POST 请求,利用 CVE-2024-0769 通过“fatlady.php”文件访问敏感配置文件(“getcfg”),该文件可能包含用户凭据。
恶意 POST 请求,来源:GreyNoise
GreyNoise 尚未确定攻击者的动机,但针对用户密码的攻击表明其意图进行设备接管,从而使攻击者完全控制设备。
研究人员解释说:“目前尚不清楚这些披露信息的预期用途是什么,需要注意的是,这些设备永远不会收到补丁。只要设备一直面向互联网,从设备中泄露的任何信息在设备的整个生命周期内都将对攻击者有价值”
GreyNoise 指出,当前攻击所依赖的公开概念验证漏洞针对的是“DHCPS6.BRIDGE-1.xml”文件,而不是“DEVICE.ACCOUNT.xml”,因此它可以用于攻击其他配置文件,包括:
ACL.xml.php
ROUTE.STATIC.xml.php
INET.WAN-1.xml.php
WIFI.WLAN-1.xml.php
这些文件可能会暴露访问控制列表 (ACL)、NAT、防火墙设置、设备帐户和诊断的配置,因此防御者应该意识到它们是潜在的利用目标。
GreyNoise 提供了可在利用 CVE-2024-0769 的攻击中调用的文件的更大列表。如果发生其他变体,这应该可以为防御者提供帮助。
