Gli esperti dei GreyNoise Labs hanno scoperto un exploit usato per accedere alla rete locale attraverso il D-Link DIR-859. I cybercriminali sfruttano una vulnerabilità confermata dal produttore taiwanese a gennaio per rubare le credenziali di login e altre informazioni. Purtroppo il router non viene più supportato da fine 2020, quindi non verrà rilasciata nessuna patch.
Sostituire subito il router
La vulnerabilità, indicata con CVE-2024-0769, ha un punteggio di gravità 9.8/10 ed è presente nel file fatlady.php
. In dettaglio si tratta di un bug del tipo “path traversal“. A causa della mancata validazione dell’input è possibile inviare un richiesta POST con specifici parametri. Ciò consente di sfogliare i file del firmware, ottenere privilegi elevati, accedere al pannello di amministrazione e, in definitiva, prendere il controllo del router.
Il principale obiettivo dell’exploit è il file DEVICE.ACCOUNT.xml
che include tutti i nomi degli account, password, gruppi e altre informazioni sensibili. I ricercatori dei GreyNoise Labs non hanno ancora scoperto le intenzioni dei cybercriminali, ma i dati ottenuti potrebbero essere sfruttati per accedere alla rete locale e quindi ai dispositivi collegati.
Come detto, il D-Link DIR-859 non viene più supportato dalla fine del 2020. Il produttore taiwanese non rilascerà quindi un nuovo firmware per correggere la grave vulnerabilità. Per non correre rischi è fortemente consigliata la sua sostituzione con un modello più recente.