Уязвимость в роутерах D-Link позволяет хакерам красть пароли

Всех пользователей WiFi-роутеров D-Link DIR-859 ждет неприятный сюрприз: была обнаружена критическая уязвимость, позволяющая хакерам получать доступ к личным данным, включая пароли. Проблема, обозначенная как CVE-2024-0769 с высоким уровнем опасности (9.8 баллов), связана с нарушением пути в файле «fatlady.php», что приводит к утечке информации.

Эта модель роутера уже не поддерживается производителем, так как достигла статуса «конец жизненного цикла» (End-of-Life, EoL), и обновления для нее больше не выпускаются. Однако производитель выпустил рекомендации по безопасности, в которых указал, что уязвимость затрагивает все версии прошивок и позволяет атакующим получить контроль над административной панелью.

Платформа мониторинга угроз GreyNoise зафиксировала активное использование этой уязвимости в атаках. Хакеры нацеливаются на файл 'DEVICE.ACCOUNT.xml', из которого извлекают все имена аккаунтов, пароли, группы пользователей и описания пользователей.

Атака осуществляется с помощью вредоносного POST-запроса на адрес '/hedwig.cgi', который эксплуатирует CVE-2024-0769 для доступа к конфиденциальным файлам конфигурации через файл 'fatlady.php', что потенциально позволяет получить учетные данные пользователей.

По данным GreyNoise, мотивация злоумышленников не установлена, но цель атак — получение контроля над устройством. Отмечается, что эти устройства больше не получат патчи, и любая информация, полученная из устройства, останется ценной для атакующих на всем протяжении его использования, если оно останется подключенным к интернету.

В списке потенциальных целей для эксплуатации также находятся файлы, содержащие настройки списков контроля доступа (ACL), NAT, настройки брандмауэра и диагностики. Это ставит под угрозу не только личные данные пользователей, но и безопасность всей сети. GreyNoise предостерегает защитников и рекомендует быть готовыми к возможным вариациям атак.