CVE‑2024‑0769 è una vulnerabilità critica di path traversal non autenticata (CVSS fino a 9.8) nel router D-Link DIR‑859 arrivato a fine vita (EoL). Consente ad attaccanti remoti di accedere a file sensibili—come XML di configurazione contenenti credenziali—attraverso l’interfaccia CGI /hedwig.cgi. È stata attivamente sfruttata (ad esempio da GreyNoise) ed esistono PoC pubblici.
| Data | 2025-06-26 12:31:26 |
Riassunto tecnico
Inviando una richiesta POST XML appositamente costruita a /hedwig.cgi e impostando il parametro service su un percorso come ../../../../htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml, gli attaccanti possono scaricare file critici del router (credenziali, ACL, impostazioni NAT). Questi file sono esposti senza alcuna autenticazione, consentendo una divulgazione immediata di informazioni e abilitando un’escalation dei privilegi o la completa compromissione del dispositivo.
Raccomandazioni
-
Sostituire il dispositivo: il modello DIR‑859 è arrivato a fine vita nel dicembre 2020, quindi non sono disponibili patch. Eseguire l’upgrade a un modello di router supportato e sicuro.
-
Isolare il router: fino alla sostituzione, bloccare tutto l’accesso WAN/Zona pubblica alla sua interfaccia web; limitare l’accesso admin solo a una rete di gestione sicura.
-
Monitorare la rete per traffico di exploit: abilitare avvisi per richieste POST indirizzate a
/hedwig.cgiche contengano pattern di traversal directory (../../..) nei log web e nei sistemi IDS. -
Proteggere e verificare le impostazioni modificate: dopo la sostituzione, modificare tutte le password, ricostruire gli ACL e auditare la rete per assicurarsi che non siano rimaste configurazioni malevole.