Američka agencija za kibernetičku sigurnost i infrastrukturu (CISA) izdala je hitno upozorenje o kritičnoj ranjivosti u proizvodima kompanije D-Link, konkretno modela DIR-859 rutera. Ova ranjivost tipa “path traversal” aktivno se koristi u napadima.
Ranjiovst, označena kao CVE-2024-0769, dodata je u katalog poznatih eksploatisanih ranjivosti (KEV) CISA-e 25. juna 2025. godine. Federalne agencije dobile su rok do 16. jula 2025. za implementaciju mjera za njeno otklanjanje.
Ranjivost CVE-2024-0769 utiče na D-Link DIR-859 rutere putem “path traversal” u datoteci /hedwig.cgi, omogućavajući neovlašten pristup. CISA je potvrdila da se ova ranjivost eksploatiše u realnim napadima od 25. juna 2025. Pogođeni ruteri su prestali sa podrškom i više neće dobijati sigurnosna ažuriranja od D-Linka.
Otkrivena ranjivost predstavlja značajan sigurnosni rizik za organizacije koje još uvijek koriste starije D-Link DIR-859 rutere. Ovaj propust u vidu “path traversal”, klasifikovan pod Common Weakness Enumeration (CWE-22), omogućava napadačima da zaobiđu standardna ograničenja pristupa datotekama i steknu neovlašten pristup osjetljivim sistemskim datotekama. Konkretno, ranjivost cilja komponentu /hedwig.cgi unutar rukovaoca zahtjeva za HTTP POST zahtjeve, stvarajući direktan put za zlonamjerne aktere da kompromituju mrežnu infrastrukturu.
Sve hardverske revizije pogođenog D-Link DIR-859 modela dosegle su status završetka životnog vijeka (EOL) ili završetka pružanja usluga (EOS), što znači da više ne primaju sigurnosna ažuriranja niti podršku od proizvođača. Ovaj EOL status značajno povećava sigurnosni rizik, jer se neće razvijati ispravke za ovu kritičnu ranjivost. Organizacije koje koriste ove uređaje suočavaju se s neposrednom sigurnosnom izloženošću koja se može riješiti samo potpunom zamjenom uređaja.
Tehnička analiza otkriva da vektor napada uključuje manipulaciju parametra “service” unutar HTTP POST zahtjeva prema ranjivoj /hedwig.cgi tački. Napadači koriste ovu ranjivost ubacivanjem “path traversal” payload-a, kao što je ../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml, u parametar “service”. Ovaj specifični unos omogućava neovlašten pristup konfiguracijskim datotekama koje sadrže osjetljive podatke o sesiji, potencijalno omogućavajući napade eskalacije privilegija.
Metoda “path traversal” koristi sekvence za prelazak kroz direktorijume (../) kako bi se navigiralo izvan namjeravane strukture direktorijuma i pristupilo ograničenim sistemskim datotekama. Nakon uspješnog pristupa, napadači mogu izvući “session tokens”, parametre konfiguracije i druge osjetljive informacije koje olakšavaju potpunu kompromitaciju uređaja. Ovaj neovlašteni pristup potencijalno daje napadačima administrativnu kontrolu nad pogođenim ruterom, omogućavajući im da presreću mrežni saobraćaj, mijenjaju konfiguracije usmjeravanja ili uspostavljaju trajne “backdoore”.
Faktori rizika uključuju pogođene proizvode kao što je D-Link DIR-859 ruter (sve hardverske revizije), sa uticajem “path traversal” ranjivosti. Preduslovi za eksploataciju obuhvataju HTTP POST zahtjev prema /hedwig.cgi, manipulaciju parametra “service” i korištenje payload-a ../../../../htdocs/webinc/getcfg/DHCPS6.BRIDGE-1.xml. CVSS 3.1 ocjena rizika je 9.8, što je klasifikovano kao kritično.
Uvrštavanje CVE-2024-0769 u KEV katalog CISA-e aktivira obavezne zahtjeve za usklađenost prema Obaveznoj operativnoj direktivi (BOD) 22-01. Federalne agencije moraju primijeniti preporuke proizvođača za ublažavanje rizika ili prekinuti upotrebu pogođenih uređaja u određenom vremenskom roku. S obzirom na EOL status DIR-859 rutera, primarna strategija ublažavanja sastoji se u potpunoj zamjeni uređaja novijim, podržanim i aktivno održavanim mrežnim opremom.
Organizacije u sektorima kritične infrastrukture trebale bi dati prioritet hitnom pregledu svoje mrežne opreme kako bi identifikovale pogođene D-Link DIR-859 uređaje. Aktivni status eksploatacije ove ranjivosti zahtijeva hitnu akciju radi sprječavanja potencijalnog raspoređivanja ransomwarea, iznošenja podataka ili lateralnog širenja unutar kompromitovanih mreža.
