Les pirates exploitent une vulnérabilité critique qui affecte tous les routeurs WiFi D-Link DIR-859 pour collecter des informations de compte sur l'appareil, y compris des mots de passe.
Le problème de sécurité a été révélé en janvier et est actuellement suivi comme CVE-2024-0769 (score de gravité de 9,8) – une faille de traversée de chemin qui conduit à la divulgation d'informations.
Bien que le modèle de routeur WiFi D-Link DIR-859 ait atteint la fin de vie (EoL) et ne reçoive plus aucune mise à jour, le fournisseur a quand même publié un avis de sécurité expliquant que la faille existe dans le fichier « fatlady.php » de l'appareil, affecte toutes les versions du firmware et permet aux attaquants de divulguer des données de session, d'obtenir une escalade des privilèges et d'obtenir un contrôle total via le panneau d'administration.
D-Link ne devrait pas publier de correctif pour CVE-2024-0769. Les propriétaires de l'appareil doivent donc passer à un appareil pris en charge dès que possible.
Activité d'exploitation détectée
La plateforme de surveillance des menaces GreyNoise a observé la exploitation active de CVE-2024-0769 dans les attaques qui reposent sur une légère variation de l’exploit public.
Les chercheurs expliquent que les pirates ciblent le fichier « DEVICE.ACCOUNT.xml » pour supprimer tous les noms de comptes, mots de passe, groupes d'utilisateurs et descriptions d'utilisateurs présents sur l'appareil.
![Des pirates informatiques exploitent une faille critique du routeur D-Link DIR-859 pour voler des mots de passe 2 Contenu du fichier de configuration récupéré](https://www.bleepstatic.com/images/news/u/1220909/2024/Legal/conf-file.png)
L'attaque exploite une requête POST malveillante vers « /hedwig.cgi », exploitant CVE-2024-0769 pour accéder à des fichiers de configuration sensibles (« getcfg ») via le fichier « fatlady.php », qui contient potentiellement les informations d'identification de l'utilisateur.
![Des pirates informatiques exploitent une faille critique du routeur D-Link DIR-859 pour voler des mots de passe 3 Requête POST malveillante](https://www.bleepstatic.com/images/news/u/1220909/2024/Legal/mal-req.png)
GreyNoise n'a pas déterminé la motivation des attaquants, mais le ciblage des mots de passe des utilisateurs montre une intention de prendre le contrôle de l'appareil, donnant ainsi à l'attaquant le contrôle total de l'appareil.
« On ne sait pas encore à quoi serviront ces informations divulguées, il faut noter que ces appareils ne recevront jamais de patch », expliquent les chercheurs.
« Toute information divulguée par l'appareil restera précieuse pour les attaquants pendant toute la durée de vie de l'appareil tant qu'il restera accessible sur Internet » – GreyNoise
GreyNoise note que l'exploit de preuve de concept public, sur lequel s'appuient les attaques actuelles, cible le fichier « DHCPS6.BRIDGE-1.xml » au lieu de « DEVICE.ACCOUNT.xml », il pourrait donc être utilisé pour cibler d'autres fichiers de configuration, notamment :
- ACL.xml.php
- ROUTE.STATIQUE.xml.php
- INET.WAN-1.xml.php
- WIFI.WLAN-1.xml.php
Ces fichiers peuvent exposer des configurations pour les listes de contrôle d'accès (ACL), NAT, les paramètres du pare-feu, les comptes d'appareils et les diagnostics. Les défenseurs doivent donc être conscients qu'ils constituent des cibles potentielles d'exploitation.
GreyNoise met à disposition un plus grande liste de fichiers qui pourrait être invoqué dans des attaques exploitant la vulnérabilité CVE-2024-0769. Cela devrait alerter les défenseurs du serveur au cas où d'autres variantes se produiraient.