Agencija za kibernetsku sigurnost i infrastrukturu (CISA) izdala je hitno upozorenje povodom kritične ranjivosti na prolaz kroz direktorijume u D-Link DIR-859 usmjerivačima, koja se aktivno eksploatiše u napadima.
Ranjivost, označena kao CVE-2024-0769, dodata je u CISA-in katalog poznatih eksploatisanih ranjivosti (KEV) 25. juna 2025. godine, a savezne agencije dužne su da implementiraju mjere sanacije do 16. jula 2025. godine.
Ukratko, CVE-2024-0769 utiče na D-Link DIR-859 usmjerivače putem prolaza kroz direktorijume u datoteci /hedwig.cgi, omogućavajući neovlašteni pristup. CISA je potvrdila da se ova ranjivost eksploatiše u realnim napadima od 25. juna 2025. Pogođeni usmjerivači su van životnog vijeka i ne dobijaju sigurnosne nadogradnje od D-Linka. Savezne agencije imaju rok do 16. jula 2025. za zamjenu ugroženih uređaja.
Identifikovana ranjivost predstavlja značajan sigurnosni rizik za organizacije koje još uvijek koriste starije D-Link DIR-859 usmjerivače. Ovaj nedostatak, klasifikovan pod Common Weakness Enumeration (CWE-22), omogućava napadačima da zaobiđu uobičajena ograničenja pristupa datotekama i steknu neovlašteni pristup osjetljivim sistemskim datotekama. Konkretno, ranjivost cilja komponentu /hedwig.cgi unutar upravitelja HTTP POST zahtjeva usmjerivača, stvarajući direktan put za zlonamjerne aktere da ugroze mrežnu infrastrukturu.
Svi hardverski reviziji pogođenog modela D-Link DIR-859 postigli su status kraja životnog vijeka (EOL) ili kraja servisiranja (EOS), što znači da više ne primaju sigurnosna ažuriranja niti podršku proizvođača. Ovaj EOL status značajno povećava sigurnosni rizik, jer se neće razvijati zakrpe za rješavanje ove kritične ranjivosti. Organizacije koje koriste ove uređaje suočavaju se s neposrednom sigurnosnom izloženošću koja se može riješiti samo potpunom zamjenom uređaja.
Tehnička analiza otkriva da vektor napada uključuje manipulaciju argumenta “service” unutar HTTP POST zahtjeva prema ranjivom krajnjem cilju /hedwig.cgi. Napadači iskorištavaju ovu ranjivost ubacivanjem tereta za prolaz kroz direktorijume kao što je “../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml” u parametar “service”. Ovaj specifični unos omogućava neovlašteni pristup konfiguracijskim datotekama koje sadrže osjetljive podatke o sesiji, potencijalno omogućavajući napade eskalacije privilegija.
Metoda prolaza kroz direktorijume koristi sekvence za kretanje kroz direktorijume (../) kako bi se navigiralo izvan namijenjene strukture direktorijuma i pristupilo ograničenim sistemskim datotekama. Nakon uspješnog pristupa, napadači mogu izvući identifikatore sesije, parametre konfiguracije i druge osjetljive informacije koje olakšavaju potpuno ugrožavanje uređaja. Ovaj neovlašteni pristup potencijalno daje napadačima administrativnu kontrolu nad pogođenim usmjerivačem, omogućavajući im da presreću mrežni saobraćaj, mijenjaju konfiguracije usmjeravanja ili uspostavljaju trajne skrivene kanale.
Faktori rizika uključuju pogođene proizvode kao što je D-Link DIR-859 usmjerivač (svi hardverski reviziji). Uticaj je ranjivost prolaza kroz direktorijume. Preduslovi za eksploataciju obuhvataju HTTP POST zahtjev prema /hedwig.cgi, manipulaciju parametra “service” i specifični teret: “../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml”. CVSS 3.1 rezultat je 9.8, što ukazuje na kritičnu ranjivost.
Uvrštavanje CVE-2024-0769 u KEV katalog podrazumijeva obavezujuće zahtjeve za usklađenost prema Operativnoj Direktivi (BOD) 22-01. Savezne agencije moraju implementirati mjere ublažavanja preporučene od strane proizvođača ili prekinuti korištenje pogođenih uređaja u navedenom vremenskom okviru. S obzirom na EOL status DIR-859 usmjerivača, primarna strategija sanacije podrazumijeva potpunu zamjenu uređaja s podržanom, aktivno održavanom mrežnom opremom.
Organizacije u kritičnim infrastrukturnim sektorima trebale bi dati prioritet hitnom procjenjivanju svog inventara mreže kako bi identifikovale ugrožene D-Link DIR-859 uređaje. Status aktivne eksploatacije ove ranjivosti nalaže hitno djelovanje radi sprječavanja potencijalnog uvođenja ransomwarea, iznošenja podataka ili bočnog kretanja unutar ugroženih mreža.
