近日,威胁监控平台GreyNoise观察到,黑客正在利用一个影响所有D-Link DIR-859 WiFi路由器的严重漏洞,来收集用户设备上包括密码在内的账户信息。
根据制造商所发布的一份安全公告,该路由器存在的这个安全问题最早于一月份被披露,该漏洞(CVE-2024-0769,CVSS评分9.8)源于D-Link DIR-859路由器的“fatlady.php”文件,影响所有固件版本,是一种可能导致信息泄露的路径遍历漏洞,允许攻击者泄露会话数据、提升权限,并通过管理面板完全控制设备。
GreyNoise已经观察到了CVE-2024-0769的在野利用,所使用的攻击工具是一个公开利用程序的变种。黑客特别针对’DEVICE.ACCOUNT.xml’文件进行攻击,以提取设备上存在的所有账户名称、密码、用户组和用户描述。攻击涉及对’/hedwig.cgi’的恶意POST请求,利用CVE-2024-0769通过’fatlady.php’文件访问敏感配置文件(’getcfg’),其中可能包含用户凭据。
该路由器厂商表示,D-Link DIR-859 WiFi路由器型号已经到达其生命周期的终点(EoL),D-Link没有为CVE-2024-0769发布修复补丁的计划,因此该设备所有者应尽快对旧产品进行更新换代。
威胁监控平台GreyNoise指出,当前攻击利用的PoC针对的是“DHCPS6.BRIDGE-1.xml”文件,而非“DEVICE.ACCOUNT.xml”,因此还可能用于针对其他配置文件,如ACL.xml.php、ROUTE.STATIC.xml.php、INET.WAN-1.xml.php、WIFI.WLAN-1.xml.php这些文件可能暴露访问控制列表(ACL)、NAT、防火墙设置、设备账户和诊断的配置,防御者应意识到它们可能成为攻击的潜在目标。
资讯来源:greynoise、bleepingcomputer
转载请注明出处和本文链接
原文始发于微信公众号(看雪学苑):黑客正利用D-Link路由器漏洞窃取密码
