Hackers exploram falha em roteador da D-Link, expondo senhas e dados críticos
Hackers estão explorando uma vulnerabilidade crítica que afeta todos os roteadores WiFi D-Link DIR-859 para coletar informações de conta
A falha de segurança foi divulgada em janeiro de 2024 e atualmente é rastreada como CVE-2024-0769, com uma pontuação de gravidade de 9,8. Esta vulnerabilidade é uma falha de travessia de caminho que leva à divulgação de informações confidenciais.
O modelo de roteador WiFi D-Link DIR-859 chegou ao fim de sua vida útil (EoL) e, por isso, não recebe mais atualizações de firmware. Mesmo assim, o fornecedor D-Link divulgou um aviso de segurança detalhando que a falha está localizada no arquivo “fatlady.php” do dispositivo. Todas as versões de firmware são afetadas, permitindo que invasores vazem dados de sessão, obtenham escalonamento de privilégios e consigam controle total através do painel de administração.
A D-Link não planeja lançar um patch de correção para a vulnerabilidade CVE-2024-0769. Por isso, os proprietários do dispositivo são aconselhados a mudar para um modelo de roteador compatível o mais rápido possível.
Atividade de exploração detectada
A plataforma de monitoramento de ameaças GreyNoise relatou a exploração ativa da falha CVE-2024-0769. Os ataques observados utilizam uma variação ligeira da exploração pública conhecida.
Os pesquisadores da GreyNoise explicam que os hackers estão mirando no arquivo ‘DEVICE.ACCOUNT.xml’ para obter todos os nomes de contas, senhas, grupos de usuários e descrições de usuários presentes no dispositivo. O ataque é realizado através de uma solicitação POST maliciosa para ‘/hedwig.cgi’, que explora a CVE-2024-0769 para acessar arquivos de configuração confidenciais (‘getcfg’) por meio do arquivo ‘fatlady.php’. Esses arquivos podem conter credenciais valiosas do usuário.
Embora a GreyNoise ainda não tenha determinado a motivação dos invasores, o fato de estarem mirando senhas de usuários sugere uma intenção de controle total do dispositivo. Os pesquisadores alertam que a informação vazada continuará valiosa para os invasores enquanto o dispositivo permanecer conectado à internet.
“Qualquer informação divulgada pelo dispositivo permanecerá valiosa para os invasores durante toda a vida útil do dispositivo, desde que ele permaneça voltado para a Internet,” explicam os pesquisadores da GreyNoise.
O exploit público de prova de conceito se baseia no arquivo ‘DHCPS6.BRIDGE-1.xml’, mas pode ser ajustado para mirar outros arquivos de configuração, tais como:
- ACL.xml.php
- ROTA.STATIC.xml.php
- INET.WAN-1.xml.php
- WIFI.WLAN-1.xml.php
Esses arquivos podem expor configurações de listas de controle de acesso (ACLs), NAT, configurações de firewall, contas de dispositivos e diagnósticos, tornando-os alvos potenciais para exploração.
A GreyNoise disponibilizou uma lista extensa de arquivos que podem ser visados em ataques que exploram a CVE-2024-0769. Isso é crucial para que os defensores possam se preparar e responder adequadamente a possíveis variações do ataque.
Recomendações para proprietários do D-Link DIR-859
Para minimizar os riscos associados a esta vulnerabilidade crítica, os proprietários dos roteadores D-Link DIR-859 devem considerar as seguintes ações imediatas:
- Substituir o roteador D-Link DIR-859 por um modelo que ainda receba atualizações de segurança.
- Desconectar o dispositivo da internet para evitar que seja comprometido.
- Monitorar a atividade da rede para identificar qualquer comportamento suspeito que possa indicar uma tentativa de exploração.
- Implementar firewalls adicionais e medidas de segurança de rede para proteger outros dispositivos conectados.