近日，威胁监控平台GreyNoise观察到，黑客正在利用一个影响所有D-Link DIR-859 WiFi路由器的严重漏洞，来收集用户设备上包括密码在内的账户信息。

根据制造商所发布的一份安全公告，该路由器存在的这个安全问题最早于一月份被披露，该漏洞（CVE-2024-0769，CVSS评分9.8）源于D-Link DIR-859路由器的“fatlady.php”文件，影响所有固件版本，是一种可能导致信息泄露的路径遍历漏洞，允许攻击者泄露会话数据、提升权限，并通过管理面板完全控制设备。

GreyNoise已经观察到了CVE-2024-0769的在野利用，所使用的攻击工具是一个公开利用程序的变种。黑客特别针对'DEVICE.ACCOUNT.xml'文件进行攻击，以提取设备上存在的所有账户名称、密码、用户组和用户描述。攻击涉及对'/hedwig.cgi'的恶意POST请求，利用CVE-2024-0769通过'fatlady.php'文件访问敏感配置文件（'getcfg'），其中可能包含用户凭据。

该路由器厂商表示，D-Link DIR-859 WiFi路由器型号已经到达其生命周期的终点（EoL），D-Link没有为CVE-2024-0769发布修复补丁的计划，因此该设备所有者应尽快对旧产品进行更新换代。

威胁监控平台GreyNoise指出，当前攻击利用的PoC针对的是“DHCPS6.BRIDGE-1.xml”文件，而非“DEVICE.ACCOUNT.xml”，因此还可能用于针对其他配置文件，如ACL.xml.php、ROUTE.STATIC.xml.php、INET.WAN-1.xml.php、WIFI.WLAN-1.xml.php这些文件可能暴露访问控制列表（ACL）、NAT、防火墙设置、设备账户和诊断的配置，防御者应意识到它们可能成为攻击的潜在目标。

编辑：左右里

资讯来源：greynoise、bleepingcomputer

转载请注明出处和本文链接

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！