黑客正利用D-Link路由器漏洞窃取密码
2024-7-3 18:0:5 Author: mp.weixin.qq.com(查看原文) 阅读量:7 收藏

近日,威胁监控平台GreyNoise观察到,黑客正在利用一个影响所有D-Link DIR-859 WiFi路由器的严重漏洞,来收集用户设备上包括密码在内的账户信息。



根据制造商所发布的一份安全公告,该路由器存在的这个安全问题最早于一月份被披露,该漏洞(CVE-2024-0769,CVSS评分9.8)源于D-Link DIR-859路由器的“fatlady.php”文件,影响所有固件版本,是一种可能导致信息泄露的路径遍历漏洞,允许攻击者泄露会话数据、提升权限,并通过管理面板完全控制设备。
GreyNoise已经观察到了CVE-2024-0769的在野利用,所使用的攻击工具是一个公开利用程序的变种。黑客特别针对'DEVICE.ACCOUNT.xml'文件进行攻击,以提取设备上存在的所有账户名称、密码、用户组和用户描述。攻击涉及对'/hedwig.cgi'的恶意POST请求,利用CVE-2024-0769通过'fatlady.php'文件访问敏感配置文件('getcfg'),其中可能包含用户凭据。
该路由器厂商表示,D-Link DIR-859 WiFi路由器型号已经到达其生命周期的终点(EoL),D-Link没有为CVE-2024-0769发布修复补丁的计划,因此该设备所有者应尽快对旧产品进行更新换代。
威胁监控平台GreyNoise指出,当前攻击利用的PoC针对的是“DHCPS6.BRIDGE-1.xml”文件,而非“DEVICE.ACCOUNT.xml”,因此还可能用于针对其他配置文件,如ACL.xml.php、ROUTE.STATIC.xml.php、INET.WAN-1.xml.php、WIFI.WLAN-1.xml.php这些文件可能暴露访问控制列表(ACL)、NAT、防火墙设置、设备账户和诊断的配置,防御者应意识到它们可能成为攻击的潜在目标。
编辑:左右里

资讯来源:greynoise、bleepingcomputer

转载请注明出处和本文链接



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458562039&idx=2&sn=93a68bb4130efd4ed3b4f8f33624b56c&chksm=b18d9d7d86fa146bb06f4d7c292e0d4b64080f6a1533f6b6b2c0bec1e79b4381d57ecd9040b1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh