Hackerek használják ki a D-Link DIR-859 WiFi routerek kritikus sérülékenységét abból a célból, hogy kinyerjék a készüléken tárolt információkat, köztük jelszavakat. A hiba 2024 januárjában került nyilvánosságra, a CVE-2024-0769-es azonosítón nyomon követhető, path traversal jellegű sérülékenység, ami 9.8-as CVSS pontszámmal rendelkezik.
Bár a D-Link DIR-859 már elérte az életciklusa végét (EoL), és már nem kap frissítéseket, a gyártó mégis kiadott egy biztonsági közleményt, amelyben részletezi, hogy hiba van a készülék “fatlady.php” nevű fájljában. Ez az összes firmware verziót érinti, és lehetővé teszi a támadók számára, hogy munkamenet adatokat szivárogtassanak ki, adminisztrátor jogosultságot szerezzenek, ezzel együtt pedig teljeskörű irányítást szerezzenek a készülék felett az adminisztrációs panelen keresztül.
A GreyNoise megfigyelése alapján a biztonsági hiba aktívan kihasználás alatt áll. A hackerek a DEVICE.ACCOUNT.xml fájlt célozzák meg, ebbe dumpolják a felhasználóneveket, jelszavakat és a csoportokat, amelyek megtalálhatók az eszközön. A támadás egy rosszindulatú POST kérésre támaszkodik a „/hedwig.cgi” útvonalon keresztül, kihasználva a CVE-2024-0769-es sérülékenységet, hogy hozzáférjenek érzékeny konfigurációs fájlokhoz („getcfg”) a „fatlady.php” fájl segítségével, amely potenciálisan felhasználói hitelesítési adatokat tartalmazhat.
Hogyha a „DEVICE.ACCOUNT.xml” helyett a támadó a „DHCPS6.BRIDGE-1.xml” fájlt támadja meg, akkor más konfigurációs fájlokat érhet el, például a: „ACL.xml.php”, „ROUTE.STATIC.xml.php”, „INET.WAN-1.xml.php” vagy a „WIFI.WLAN-1.xml.php”-t. Ezek a fájlok ki tudják szivárogtatni az ACL, NAT, tűzfal, eszközfiókok és diagnosztika konfigurációit, ezért a rendszerüzemeltetőknek érdemes tisztában lenni azzal, hogy ezek potenciális célpontok lehetnek. A GreyNoise továbbá megsztott egy listát az összes CVE-2024-0769-cel támadható fájlról.
A D-Link nem tervezi a sérülékenység patchelését, ezért célszerű ezeket az eszközöket minél hamarabb lecserélni.