Američka agencija za sajberbezbjednost i infrastrukturu (CISA) izdala je hitno upozorenje u vezi sa kritičnom ranjivošću tipa “path traversal” koja pogađa rutere D-Link DIR-859, a koja se aktivno iskorištava u realnim napadima.
Ova ranjivost, poznata pod oznakom CVE-2024-0769, dodata je u katalog poznatih eksploatisanih ranjivosti (KEV) CISA-e 25. juna 2025. godine, a federalne agencije moraju implementirati mjere za njeno otklanjanje do 16. jula 2025. godine.
**Sažetak:**
1. CVE-2024-0769 utiče na rutere D-Link DIR-859 putem “path traversal” u datoteci /hedwig.cgi, omogućavajući neovlašten pristup.
2. CISA je potvrdila da se ova ranjivost eksploatiše u realnom vremenu od 25. juna 2025. godine.
3. Pogođeni ruteri su dostigli kraj životnog vijeka (end-of-life) i D-Link više ne isporučuje sigurnosne nadogradnje za njih.
4. Federalne agencije imaju rok do 16. jula 2025. godine da zamijene ugrožene uređaje.
**Kritični propust “Path Traversal”**
Identifikovana ranjivost predstavlja značajan sigurnosni rizik za organizacije koje još uvijek koriste starije rutere D-Link DIR-859. Ovaj propust, klasifikovan prema Common Weakness Enumeration (CWE) kao CWE-22, omogućava napadačima da zaobiđu uobičajena ograničenja pristupa datotekama i dobiju neovlašten pristup osjetljivim sistemskim datotekama. Ranjivost specifično cilja komponentu /hedwig.cgi unutar rukovaoca HTTP POST zahtjeva rutera, stvarajući direktan put za zlonamjerne aktere da kompromituju mrežnu infrastrukturu.
Sve hardverske revizije pogođenog modela D-Link DIR-859 dosegle su kraj životnog vijeka (EOL) ili kraj servisnog vijeka (EOS) ciklusa, što znači da više ne primaju sigurnosne nadogradnje ili podršku od proizvođača. Ovaj EOL status značajno povećava sigurnosni rizik, jer neće biti razvijene zakrpe za rješavanje ove kritične ranjivosti. Organizacije koje koriste ove uređaje suočavaju se s neposrednom sigurnosnom izloženošću koja se može riješiti samo potpunom zamjenom uređaja.
Tehnička analiza otkriva da vektor napada uključuje manipulaciju parametra “service” u HTTP POST zahtjevima prema ranjivom krajnjoj tački /hedwig.cgi. Napadači iskorištavaju ovu ranjivost ubacivanjem “path traversal” tereta ../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml u parametar “service”. Ovaj specifični unos omogućava neovlašten pristup konfiguracijskim datotekama koje sadrže osjetljive podatke o sesiji, potencijalno omogućavajući napade eskalacije privilegija.
Tehnika “path traversal” koristi sekvence za traversanje direktorijuma (../) kako bi se navigiralo izvan namijenjene strukture direktorijuma i pristupilo ograničenim sistemskim datotekama. Nakon uspješnog pristupa, napadači mogu izdvojiti token-e sesije, konfiguracijske parametre i druge osjetljive informacije koje olakšavaju potpunu kompromitaciju uređaja. Ovaj neovlašteni pristup potencijalno daje napadačima administrativnu kontrolu nad pogođenim ruterom, omogućavajući im da presreću mrežni saobraćaj, mijenjaju konfiguracije rutiranja ili uspostavljaju trajne backdoor-ove.
| Faktori rizika | Detalji |
| :——————- | :—————————————————————————————- |
| Pogođeni proizvodi | D-Link DIR-859 Ruter (sve hardverske revizije) |
| Uticaj | Ranjivost “path traversal” |
| Preduslovi za eksploataciju | – HTTP POST zahtjev prema /hedwig.cgi
– Manipulacija parametra “service”
– Teret: ../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml |
| CVSS 3.1 ocjena | 9.8 (Kritično) |
**Ublažavanje**
Uključivanje CVE-2024-0769 u KEV katalog CISA-e pokreće obavezne zahtjeve za usklađenost prema Obavezujućoj operativnoj direktivi (BOD) 22-01. Federalne agencije moraju implementirati preporučena ublažavanja od strane proizvođača ili prestati koristiti pogođene uređaje u određenom roku. S obzirom na EOL status DIR-859 rutera, primarni pristup za otklanjanje problema uključuje potpunu zamjenu uređaja podržavanom, aktivno održavanom mrežnom opremom.
Organizacije u kritičnim infrastrukturnim sektorima trebale bi dati prioritet hitnoj procjeni svog inventara mreže kako bi identifikovale ugrožene D-Link DIR-859 uređaje. Status aktivne eksploatacije ove ranjivosti zahtijeva hitno djelovanje kako bi se spriječilo potencijalno raspoređivanje ransomware-a, iznošenje podataka ili lateralno kretanje unutar kompromitovanih mreža.