พบ Hacker ใช้ช่องโหว่ระดับ Critical บน D-Link DIR-859 เพื่อขโมยรหัสผ่าน

GreyNoise แพลตฟอร์มการตรวจสอบภัยคุกคามทางไซเบอร์ เผยแพร่การค้นพบกลุ่ม Hacker กำลังใช้ช่องโหว่ระดับ Critical ของ D-Link DIR-859 WiFi routers เพื่อรวบรวม และขโมยข้อมูลบัญชีจากอุปกรณ์ รวมถึงรหัสผ่าน

CVE-2024-0769 (คะแนน CVSS 9.8/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ path traversal ที่อยู่ในไฟล์ "fatlady.php" ของอุปกรณ์ ซึ่งกระทบกับทุกเวอร์ชัน โดยช่องโหว่จะทำให้ Hacker สามารถรวบรวม และขโมยข้อมูล session data, ยกระดับสิทธิ์ รวมถึงสามารถควบคุมอุปกรณ์ที่มีช่องโหว่ได้ผ่าน admin panel

ทั้งนี้ D-Link DIR-859 WiFi routers ได้หมดอายุการใช้งาน (EoL) ไปแล้ว และไม่ได้รับการอัปเดตใด ๆ อีกต่อไป ทาง D-Link จึงแนะนำให้ผู้ใช้งานทำการเปลี่ยนอุปกรณ์เป็นรุ่นที่สามารถทำการอัปเดตด้านความปลอดภัยได้โดยเร็วที่สุด

การโจมตีช่องโหว่ CVE-2024-0769

GreyNoise ได้พบการพยายามโจมตีช่องโหว่ดังกล่าวบนอุปกรณ์ที่เชื่อมต่อกับอินเตอร์เน็ต โดยนักวิจัยพบว่า Hacker ได้กำหนดเป้าหมายไปยังไฟล์ 'DEVICE.ACCOUNT.xml' เพื่อขโมยชื่อบัญชี, รหัสผ่าน, กลุ่มผู้ใช้ และคำอธิบายผู้ใช้ทั้งหมดที่มีอยู่ในอุปกรณ์

การโจมตีโดยใช้ POST request ที่เป็นอันตรายไปยัง 'https://pronto-core-cdn.prontomarketing.com/2/hedwig.cgi' โดยใช้ช่องโหว่ CVE-2024-0769 เพื่อเข้าถึง sensitive configuration files ('getcfg') ในชื่อไฟล์ 'fatlady.php' ซึ่งอาจมีข้อมูลประจำตัวผู้ใช้อยู่

ปัจจุบัน GreyNoise ยังไม่สามารถระบุกลุ่ม Hacker และเป้าหมายการโจมตีได้ แต่การกำหนดเป้าหมายไปยังรหัสผ่านของผู้ใช้ ก็แสดงให้เห็นถึงความตั้งใจที่จะเข้าควบคุมอุปกรณ์ทั้งหมด

จากการเผยแพร่ชุดสาธิตการโจมตี proof-of-concept (PoC) พบว่ามีการมุ่งเป้าหมายการโจมตีไปยังไฟล์ 'DHCPS6.BRIDGE-1.xml' แทนที่จะเป็น 'DEVICE.ACCOUNT.xml' ทำให้มีความเป็นไปได้ที่จะทำการโจมตีไปไฟล์อื่น ๆ ที่มีความสำคัญ เช่น

  • xml.php
  • STATIC.xml.php
  • WAN-1.xml.php
  • WLAN-1.xml.php

ซึ่งไฟล์เหล่านี้อาจเปิดเผยข้อมูลการตั้งค่าสำหรับรายการ access control lists (ACLs), NAT, firewall settings, device accounts, และ diagnostics จึงตกเป็นเป้าหมายในการโจมตี

รวมถึง GreyNoise ได้เปิดเผยรายชื่อไฟล์ที่อาจตกเป็นเป้าหมายการโจมตีของช่องโหว่ CVE-2024-0769 ในรายงานที่เผยแพร่ ([https://www[.]labs.greynoise[.]io/grimoire/2024-06-25-dlink-again/])

ที่มา : bleepingcomputer.com