Američka Agencija za sajberbezbjednost i infrastrukturalnu sigurnost (CISA) izdala je hitno upozorenje povodom kritične ranjivosti tipa “path traversal” koja pogađa rutere D-Link DIR-859 i koja se aktivno eksploatiše u napadima. Ova ranjivost, označena kao CVE-2024-0769, uvrštena je u katalog poznatih eksploatisanih ranjivosti (KEV) CISA-e 25. juna 2025. godine, a federalne agencije imaju rok do 16. jula 2025. za primenu mjera sanacije.
Ranljivost CVE-2024-0769 utiče na rutere D-Link DIR-859 kroz mehanizam “path traversal” u komponenti /hedwig.cgi, omogućavajući neautorizovan pristup sistemu. CISA je potvrdila da se ova ranjivost aktivno eksploatiše u realnim napadima od 25. juna 2025. godine. Zahvaćeni ruteri su van životnog ciklusa podrške, što znači da D-Link više ne pruža sigurnosna ažuriranja za njih.
Identifikovana ranjivost predstavlja značajan sigurnosni rizik za organizacije koje još uvijek koriste starije rutere D-Link DIR-859. Ovaj nedostatak, klasifikovan pod Common Weakness Enumeration (CWE-22), omogućava napadačima da zaobiđu standardna ograničenja pristupa datotekama i dobiju neautorizovan pristup osjetljivim sistemskim datotekama. Posebno, ranjivost cilja komponentu /hedwig.cgi unutar rutera, otvarajući direktan put za zlonamjerne aktere da kompromituju mrežnu infrastrukturu.
Sve hardverske revizije D-Link DIR-859 modela su dostigle kraj životnog vijeka (EOL) ili kraj životnog vijeka usluga (EOS), što podrazumijeva da više ne primaju sigurnosna ažuriranja niti podršku proizvođača. Ovaj status EOL-a značajno povećava sigurnosni rizik, jer neće biti razvijeni nikakvi zakrpe za rješavanje ove kritične ranjivosti. Organizacije koje koriste ove uređaje suočavaju se sa trenutnom sigurnosnom izloženošću koju je moguće riješiti isključivo potpunom zamjenom uređaja.
Tehnička analiza otkriva da napadački vektor podrazumijeva manipulaciju parametra ‘service’ u HTTP POST zahtjevima upućenim ranjivom /hedwig.cgi endpointu. Napadači koriste ovu ranjivost ubacivanjem “path traversal” payload-a, poput ../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml, u parametar ‘service’. Ovaj specifični unos omogućava neautorizovan pristup konfiguracijskim datotekama koje sadrže osjetljive podatke o sesiji, što potencijalno omogućava napade eskalacije privilegija.
Metodologija “path traversal” koristi sekvence za kretanje kroz direktorijume (../) kako bi se izašlo iz predviđene strukture direktorijuma i pristupilo ograničenim sistemskim datotekama. Nakon uspješnog pristupa, napadači mogu izdvojiti tokene sesije, parametre konfiguracije i druge osjetljive informacije koje olakšavaju potpunu kompromitaciju uređaja. Ovaj neautorizovani pristup potencijalno daje napadačima administrativnu kontrolu nad pogođenim ruterom, omogućavajući im da presreću mrežni saobraćaj, mijenjaju konfiguracije rutiranja ili uspostavljaju trajne backdoor-ove.
Faktori rizika uključuju pogođene proizvode kao što je D-Link DIR-859 ruter (sve hardverske revizije), s uticajem koji je vezan za ranjivost “path traversal”. Preduslovi za eksploataciju uključuju HTTP POST zahtjev na /hedwig.cgi, manipulaciju parametra ‘service’ i specifični payload. CVSS 3.1 rezultat je 9.8, što se smatra kritičnim.
Uvrštavanje CVE-2024-0769 u KEV katalog CISA-e podrazumijeva obavezne zahtjeve usklađenosti prema Obaveznoj operativnoj direktivi (BOD) 22-01. Federalne agencije moraju implementirati preporučene sigurnosne mjere od strane proizvođača ili prestati s korištenjem pogođenih uređaja u predviđenom roku. S obzirom na EOL status DIR-859 rutera, primarna strategija sanacije podrazumijeva potpunu zamjenu uređaja podržanom, aktivno održavanom mrežnom opremom.
Organizacije u kritičnim infrastrukturnim sektorima trebale bi dati prioritet hitnoj procjeni svog mrežnog inventara kako bi identifikovale pogođene rutere D-Link DIR-859. Status aktivne eksploatacije ove ranjivosti zahtijeva hitno djelovanje kako bi se spriječilo potencijalno raspoređivanje ransomware-a, iznošenje podataka ili lateralno kretanje unutar kompromitovanih mreža.