Vulnerabilità senza patch nel router D-Link DIR-859

Vulnerabilità senza patch nel router D-Link DIR-859

Il D-Link DIR-859 non viene più supportato, quindi non verrà rilasciata la patch per una vulnerabilità che consente di prendere il controllo del router.
Vulnerabilità senza patch nel router D-Link DIR-859
Il D-Link DIR-859 non viene più supportato, quindi non verrà rilasciata la patch per una vulnerabilità che consente di prendere il controllo del router.

Gli esperti dei GreyNoise Labs hanno scoperto un exploit usato per accedere alla rete locale attraverso il D-Link DIR-859. I cybercriminali sfruttano una vulnerabilità confermata dal produttore taiwanese a gennaio per rubare le credenziali di login e altre informazioni. Purtroppo il router non viene più supportato da fine 2020, quindi non verrà rilasciata nessuna patch.

Sostituire subito il router

La vulnerabilità, indicata con CVE-2024-0769, ha un punteggio di gravità 9.8/10 ed è presente nel file fatlady.php. In dettaglio si tratta di un bug del tipo “path traversal“. A causa della mancata validazione dell’input è possibile inviare un richiesta POST con specifici parametri. Ciò consente di sfogliare i file del firmware, ottenere privilegi elevati, accedere al pannello di amministrazione e, in definitiva, prendere il controllo del router.

Il principale obiettivo dell’exploit è il file DEVICE.ACCOUNT.xml che include tutti i nomi degli account, password, gruppi e altre informazioni sensibili. I ricercatori dei GreyNoise Labs non hanno ancora scoperto le intenzioni dei cybercriminali, ma i dati ottenuti potrebbero essere sfruttati per accedere alla rete locale e quindi ai dispositivi collegati.

Come detto, il D-Link DIR-859 non viene più supportato dalla fine del 2020. Il produttore taiwanese non rilascerà quindi un nuovo firmware per correggere la grave vulnerabilità. Per non correre rischi è fortemente consigliata la sua sostituzione con un modello più recente.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
1 lug 2024
Link copiato negli appunti