Bilgisayar korsanları, tüm D-Link DIR-859 WiFi yönlendiricilerini etkileyen kritik bir güvenlik açığından yararlanarak cihazdan şifreler de dahil olmak üzere hesap bilgilerini çalabiliyor. Güvenlik sorunu Ocak ayında ortaya çıktı ve şu anda CVE-2024-0769 (9.8 önem derecesi puanı) olarak takip ediliyor.
D-Link DIR-859 WiFi yönlendirici modeli kullanım ömrünün sonuna (EoL) ulaşmış ve artık herhangi bir güncelleme almıyor olsa da, firma yine de kusurun cihazın “fatlady.php” dosyasında bulunduğunu, tüm ürün yazılımı sürümlerini etkilediğini ve saldırganların oturum verilerini sızdırmasına, ayrıcalık yükseltmesine ve yönetici paneli aracılığıyla tam kontrol elde etmesine olanak tanıdığını açıklayan bir güvenlik bilgi notu yayınladı.
D-Link’in CVE-2024-0769 için bir düzeltme yaması yayınlaması beklenmemekte, bu nedenle cihaz sahipleri mümkün olan en kısa sürede desteklenen bir cihaza geçmeli.
D-Link router cihazlarda istismar etkinliği
Tehdit izleme platformu GreyNoise, genel istismarın küçük bir varyasyonuna dayanan saldırılarda CVE-2024-0769’un aktif olarak istismar edildiğini gözlemledi. Araştırmacılar, bilgisayar korsanlarının cihazda bulunan tüm hesap adlarını, parolaları, kullanıcı gruplarını ve kullanıcı açıklamalarını elde etmek için ‘DEVICE.ACCOUNT.xml’ dosyasını hedeflediklerini açıklıyor.
Saldırı, CVE-2024-0769’dan yararlanarak ‘/hedwig.cgi’ adresine yapılan kötü niyetli bir POST isteğinden yararlanarak, potansiyel olarak kullanıcı kimlik bilgilerini içeren ‘fatlady.php’ dosyası aracılığıyla hassas yapılandırma dosyalarına (‘getcfg’) erişiyor. GreyNoise saldırganların motivasyonu hakkında bilgi vermiyor ancak kullanıcı şifrelerinin hedeflenmesi, cihazın ele geçirilmesi niyetini gösteriyor. Yönlendiricinin ele geçirilmesi ise ilgili WiFi ağına bağlı tüm cihazlar için ciddi bir risk teşkil ediyor.
Araştırmacılar, “İfşa edilen bu bilgilerin kullanım amacının ne olduğu şu anda belli değil ancak bu cihazların hiçbir zaman bir yama almayacağı unutulmamalıdır,” diyor ve ekliyor: “Cihazdan ifşa edilen her türlü bilgi, internete açık kaldığı sürece cihazın ömrü boyunca saldırganlar için değerli kalacaktır.”
GreyNoise, mevcut saldırıların dayandığı genel kavram kanıtlama açığının ‘DEVICE.ACCOUNT.xml’ yerine ‘DHCPS6.BRIDGE-1.xml’ dosyasını hedef aldığını, bu nedenle diğer yapılandırma dosyalarını hedef almak için kullanılabileceğini belirtiyor:
ACL.xml.php
ROUTE.STATIC.xml.php
INET.WAN-1.xml.php
WIFI.WLAN-1.xml.php
Bu dosyalar erişim kontrol listeleri (ACL’ler), NAT, güvenlik duvarı ayarları, cihaz hesapları ve tanılama için yapılandırmaları ortaya çıkarabilir, bu nedenle savunucular bunların istismar için potansiyel hedefler olduğunun farkında olmalı.