ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

ورود
ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

هکرها از نقص مهم روتر D-Link DIR-859 برای سرقت رمزهای عبور سوء استفاده می کنند.

هکرها در حال سوء استفاده از یک آسیب پذیری حیاتی هستند که روی همه روترهای وای فای D-Link DIR-859 برای جمع آوری اطلاعات حساب از دستگاه، از جمله رمز عبور، تأثیر می گذارد.
مشکل امنیتی در ژانویه فاش شد و در حال حاضر به‌عنوان CVE-2024-0769 (نمره شدت 9.8) ردیابی می‌شود – یک نقص پیمایش مسیر که منجر به افشای اطلاعات می‌شود.
اگرچه مدل روتر وای‌فای D-Link DIR-859 به پایان عمر (EoL) رسیده و دیگر هیچ به‌روزرسانی دریافت نمی‌کند، فروشنده همچنان یک توصیه امنیتی منتشر کرد که توضیح داد این نقص در فایل «fatlady.php» دستگاه وجود دارد. بر تمام نسخه‌های سفت‌افزار تأثیر می‌گذارد و به مهاجمان اجازه می‌دهد تا داده‌های جلسه را فاش کنند، به افزایش امتیازات دست یابند و کنترل کامل را از طریق پنل مدیریت به دست آورند.
انتظار نمی‌رود که D-Link یک وصله اصلاحی برای CVE-2024-0769 منتشر کند، بنابراین دارندگان دستگاه باید در اسرع وقت به دستگاه پشتیبانی‌شده تغییر دهند.
فعالیت بهره برداری شناسایی شده
پلتفرم نظارت بر تهدید GreyNoise بهره برداری فعال از CVE-2024-0769 را در حملاتی مشاهده کرده است که به تنوع جزئی بهره برداری عمومی متکی هستند.
محققان توضیح می‌دهند که هکرها فایل «DEVICE.ACCOUNT.xml» را هدف قرار می‌دهند تا همه نام‌های حساب، گذرواژه‌ها، گروه‌های کاربری و توضیحات کاربران موجود در دستگاه را خالی کنند.

محتویات فایل پیکربندی بازیابی شده منبع: GreyNoise
این حمله از یک درخواست مخرب POST به ‘/hedwig.cgi’ استفاده می کند و از CVE-2024-0769 برای دسترسی به فایل های پیکربندی حساس (‘getcfg’) از طریق فایل ‘fatlady.php’ استفاده می کند که به طور بالقوه حاوی اطلاعات کاربری کاربر است.

منبع درخواست POST مخرب: GreyNoise
GreyNoise انگیزه مهاجمان را مشخص نکرده است، اما هدف قرار دادن گذرواژه‌های کاربر نشان می‌دهد که قصد کنترل دستگاه را دارد، بنابراین به مهاجم کنترل کامل دستگاه را می‌دهد.
محققان توضیح می دهند: “در حال حاضر مشخص نیست که هدف از این اطلاعات فاش شده چیست، باید توجه داشت که این دستگاه ها هرگز پچ دریافت نمی کنند.”

“هر اطلاعاتی که از دستگاه فاش می شود تا زمانی که دستگاه در معرض اینترنت باشد برای مهاجمان با ارزش باقی می ماند” – GreyNoise

GreyNoise اشاره می‌کند که اکسپلویت اثبات مفهوم عمومی، که حملات فعلی به آن متکی هستند، فایل «DHCPS6.BRIDGE-1.xml» را به‌جای «DEVICE.ACCOUNT.xml» هدف قرار می‌دهد، بنابراین می‌توان از آن برای هدف قرار دادن سایر فایل‌های پیکربندی استفاده کرد. ، شامل:
ACL.xml.php
ROUTE.STATIC.xml.php
INET.WAN-1.xml.php
WIFI.WLAN-1.xml.php
این فایل‌ها می‌توانند پیکربندی‌های لیست‌های کنترل دسترسی (ACL)، NAT، تنظیمات فایروال، حساب‌های دستگاه و تشخیص‌ها را در معرض نمایش بگذارند، بنابراین مدافعان باید از اهداف بالقوه برای بهره‌برداری آگاه باشند.
GreyNoise لیست بزرگتری از فایل‌هایی را که می‌توان در حملاتی که CVE-2024-0769 را مورد سوء استفاده قرار می‌دهند، فراخوانی کرد، در دسترس قرار می‌دهد. این باید مدافعان سرور در صورت بروز تغییرات دیگر.

مطالب مشابه
نظرات بسته شده است.