Les pirates exploitent une faille critique du routeur D-Link DIR-859 pour voler des mots de passe

Les pirates exploitent une vulnérabilité critique qui affecte tous les routeurs WiFi D-Link DIR-859 pour collecter des informations de compte sur l'appareil, y compris des mots de passe.

Le problème de sécurité a été révélé en janvier et est actuellement suivi comme CVE-2024-0769 (score de gravité de 9,8) – une faille de traversée de chemin qui conduit à la divulgation d'informations.

Bien que le modèle de routeur WiFi D-Link DIR-859 ait atteint la fin de vie (EoL) et ne reçoive plus aucune mise à jour, le fournisseur a quand même publié un avis de sécurité expliquant que la faille existe dans le fichier « fatlady.php » de l'appareil, affecte toutes les versions du firmware et permet aux attaquants de divulguer des données de session, d'obtenir une escalade des privilèges et d'obtenir un contrôle total via le panneau d'administration.

D-Link ne devrait pas publier de correctif pour CVE-2024-0769. Les propriétaires de l'appareil doivent donc passer à un appareil pris en charge dès que possible.

Publicité

Activité d'exploitation détectée

La plateforme de surveillance des menaces GreyNoise a observé la exploitation active de CVE-2024-0769 dans les attaques qui reposent sur une légère variation de l’exploit public.

Les chercheurs expliquent que les pirates ciblent le fichier « DEVICE.ACCOUNT.xml » pour supprimer tous les noms de comptes, mots de passe, groupes d'utilisateurs et descriptions d'utilisateurs présents sur l'appareil.

Contenu du fichier de configuration récupéré
Contenu du fichier de configuration récupéré Source : GreyNoise

L'attaque exploite une requête POST malveillante vers « /hedwig.cgi », exploitant CVE-2024-0769 pour accéder à des fichiers de configuration sensibles (« getcfg ») via le fichier « fatlady.php », qui contient potentiellement les informations d'identification de l'utilisateur.

Requête POST malveillante
Requête POST malveillante Source : GreyNoise

GreyNoise n'a pas déterminé la motivation des attaquants, mais le ciblage des mots de passe des utilisateurs montre une intention de prendre le contrôle de l'appareil, donnant ainsi à l'attaquant le contrôle total de l'appareil.

« On ne sait pas encore à quoi serviront ces informations divulguées, il faut noter que ces appareils ne recevront jamais de patch », expliquent les chercheurs.

« Toute information divulguée par l'appareil restera précieuse pour les attaquants pendant toute la durée de vie de l'appareil tant qu'il restera accessible sur Internet » – GreyNoise

GreyNoise note que l'exploit de preuve de concept public, sur lequel s'appuient les attaques actuelles, cible le fichier « DHCPS6.BRIDGE-1.xml » au lieu de « DEVICE.ACCOUNT.xml », il pourrait donc être utilisé pour cibler d'autres fichiers de configuration, notamment :

  • ACL.xml.php
  • ROUTE.STATIQUE.xml.php
  • INET.WAN-1.xml.php
  • WIFI.WLAN-1.xml.php

Ces fichiers peuvent exposer des configurations pour les listes de contrôle d'accès (ACL), NAT, les paramètres du pare-feu, les comptes d'appareils et les diagnostics. Les défenseurs doivent donc être conscients qu'ils constituent des cibles potentielles d'exploitation.

GreyNoise met à disposition un plus grande liste de fichiers qui pourrait être invoqué dans des attaques exploitant la vulnérabilité CVE-2024-0769. Cela devrait alerter les défenseurs du serveur au cas où d'autres variantes se produiraient.

5/5 - (152 votes)
Publicité
Article précédentOù se trouve Xur aujourd'hui ? (28 juin – 2 juillet) Guide de localisation des objets exotiques et de Xur de Destiny 2
Article suivantFortnite OG va remercier pour le plus grand renversement de zone de guerre de Call of Duty
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici