Bilgisayar korsanları, şifreler de dahil olmak üzere cihazdan hesap bilgileri toplamak için tüm D-Link DIR-859 WiFi yönlendiricilerini etkileyen kritik bir güvenlik açığından yararlanıyor.
Güvenlik sorunu Ocak ayında açıklandı ve şu anda CVE-2024-0769 (9.8 Şiddet Skoru) olarak izleniyor-bu, bilgi açıklamasına yol açan bir yol geçiş kusuru.
D-Link DIR-859 WiFi Yönlendirici Modeli Yaşam Sonu'na (EOL) ulaşsa ve artık herhangi bir güncelleme almasa da, satıcı hala cihazın "FatLady.php" dosyasında var olduğunu açıklayan bir güvenlik danışmanlığı yayınladı, Tüm ürün yazılımı sürümlerini etkiler ve saldırganların oturum verilerini sızdırmasına, ayrıcalık artışına ulaşmasına ve yönetici paneli üzerinden tam kontrol kazanmasına izin verir.
D-Link'in CVE-2024-0769 için bir sabitleme yaması bırakması beklenmiyor, bu nedenle cihaz sahipleri en kısa sürede desteklenen bir cihaza geçmelidir.
Tehdit İzleme Platformu Greynoise, CVE-2024-0769'un kamu sömürüsünün hafif bir değişimine dayanan saldırılarda aktif olarak sömürülmesini gözlemlemiştir.
Araştırmacılar, bilgisayar korsanlarının cihazda bulunan tüm hesap adlarını, şifreleri, kullanıcı gruplarını ve kullanıcı açıklamalarını dökmek için'cunt.xml 'dosyasını hedeflediğini açıklar.
Saldırı, potansiyel olarak kullanıcı bilgilerini içeren 'fatLady.php' dosyası aracılığıyla Hassas Yapılandırma Dosyalarına ('getCFG') erişmek için CVE-2024-0769'dan yararlanan '/hedwig.cgi'ye kötü niyetli bir posta isteği kullanıyor.
Grinnoise, saldırganların motivasyonunu belirlememiştir, ancak kullanıcı şifrelerinin hedeflenmesi, cihaz devralma niyetinde bir niyet gösterir, böylece saldırgana cihazın tam kontrolünü sağlar.
Araştırmacılar, "Şu anda bu açıklanan bilgilerin amaçlanan kullanımının ne olduğu belirsiz, bu cihazların asla bir yama almayacağına dikkat edilmelidir."
"Cihazdan ifşa edilen herhangi bir bilgi, internete baktığı sürece cihazın ömrü için saldırganlar için değerli kalacaktır" - Geynoise
Grinnoise, mevcut saldırıların güvendiği kamu kavram kanıtı istismarının 'dhcps6.bridge-1.xml' dosyasını 'cihaz.ccount.xml' yerine hedeflediğini belirtiyor, bu nedenle diğer yapılandırma dosyalarını hedeflemek için kullanılabilir , içermek:
Bu dosyalar erişim kontrol listeleri (ACL'ler), NAT, güvenlik duvarı ayarları, cihaz hesapları ve teşhis için yapılandırmaları ortaya çıkarabilir, bu nedenle savunucular bunların sömürü için potansiyel hedefler olduklarının farkında olmalıdır.
Geynoise, CVE-2024-0769'dan yararlanan saldırılarda çağrılabilecek daha geniş bir dosya listesi sunar. Bu, diğer varyasyonların meydana gelmesi durumunda sunucu savunucuları olmalıdır.
Solarwinds Serv-U yolu geçiş kusuru aktif olarak saldırılarda sömürüldü
Asus, 7 yönlendiricide kritik uzaktan kimlik doğrulama bypass'ı uyarıyor
Netgear WNR614 Kusurları Cihazın Alınmasına İzin Ver, Düzeltme Mevcut
Kötü Yazılım Botnet Gizemli 2023 saldırısında 600.000 yönlendiriciyi tuğla
30 Nisan'dan bu yana Saldırılarda Sakat VPN Zero-Gün kontrol noktası
Kaynak: Bleeping Computer