Les pirates exploitent une vulnérabilité critique qui affecte tous les routeurs WiFi D-Link DIR-859 pour collecter des informations de compte à partir de l’appareil, y compris les mots de passe.

Le problème de sécurité a été divulgué en janvier et est actuellement suivi sous la référence CVE-2024-0769 (score de gravité de 9,8) – une faille de traversée de chemin qui conduit à la divulgation d’informations.

Bien que le modèle de routeur WiFi D-Link DIR-859 ait atteint la fin de vie (EoL) et ne reçoive plus de mises à jour, le fournisseur a tout de même publié un avis de sécurité expliquant que la faille existe dans le « fatlady.le fichier » php  » de l’appareil affecte toutes les versions du micrologiciel et permet aux attaquants de divulguer des données de session, d’obtenir une augmentation des privilèges et d’obtenir un contrôle total via le panneau d’administration.

D-Link ne devrait pas publier de correctif pour CVE-2024-0769, les propriétaires de l’appareil doivent donc passer à un appareil pris en charge dès que possible.

Activité d’exploitation détectée
La plateforme de surveillance des menaces GreyNoise a observé l’exploitation active de CVE-2024-0769 dans des attaques qui reposent sur une légère variation de l’exploit public.

Les chercheurs expliquent que les pirates ciblent l’APPAREIL.COMPTE.fichier xml pour vider tous les noms de compte, mots de passe, groupes d’utilisateurs et descriptions d’utilisateurs présents sur l’appareil.

Contenu du fichier de configuration récupéré

L’attaque exploite une requête POST malveillante vers ‘/hedwige.cgi, ‘ exploitant CVE-2024-0769 pour accéder aux fichiers de configuration sensibles (‘getcfg’) via la ‘ fatlady.fichier php, qui contient potentiellement les informations d’identification de l’utilisateur.

Requête POST malveillante

Le bruit gris n’a pas déterminé la motivation des attaquants, mais le ciblage des mots de passe des utilisateurs montre une intention de prendre le contrôle de l’appareil, donnant ainsi à l’attaquant le contrôle total de l’appareil.

« On ne sait pas pour le moment quelle est l’utilisation prévue de ces informations divulguées, il convient de noter que ces appareils ne recevront jamais de patch », expliquent les chercheurs.

« Toute information divulguée à partir de l’appareil restera précieuse pour les attaquants pendant toute la durée de vie de l’appareil tant qu’il reste connecté à Internet » – GreyNoise

GreyNoise note que l’exploit de preuve de concept public, sur lequel les attaques actuelles ciblent réellement le ‘ DHCPS6.PONT-1.fichier xml au lieu de PÉRIPHÉRIQUE.COMPTE.xml’, de sorte qu’il pourrait être utilisé pour cibler d’autres fichiers de configuration, y compris:

  • LCA.xml.php
  • ITINÉRAIRE.STATIQUE.xml.php
  • INET.WAN-1.xml.php
  • WIFI.Réseau local sans fil-1.xml.php

Ces fichiers peuvent exposer des configurations pour les listes de contrôle d’accès (ACL), le NAT, les paramètres de pare-feu, les comptes de périphériques et les diagnostics, de sorte que les défenseurs doivent être conscients qu’ils sont des cibles potentielles d’exploitation.

Le bruit gris rend disponible une plus grande liste de fichiers qui pourraient être invoqués dans des attaques qui exploitent CVE-2024-0769. Cela devrait protéger le serveur au cas où d’autres variations se produiraient.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *