CVE‑2024‑0769 ist eine kritische, nicht authentifizierte Path-Traversal-Schwachstelle (CVSS bis zu 9.8) im EoL-Router (End-of-Life) D-Link DIR‑859. Sie ermöglicht es entfernten Angreifern, über die CGI-Schnittstelle /hedwig.cgi auf sensible Dateien zuzugreifen – wie etwa Konfigurations-XML-Dateien, die Anmeldedaten enthalten. Die Schwachstelle wird aktiv ausgenutzt (z. B. durch GreyNoise) und es existieren öffentliche PoCs.

Datum

26.06.2025 12:31:26

Technische Zusammenfassung

Durch das Senden einer speziell präparierten XML-POST-Anfrage an /hedwig.cgi und das Setzen des Parameters service auf einen Pfad wie ../../../../htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml können Angreifer kritische Router-Dateien (Anmeldedaten, ACLs, NAT-Einstellungen) herunterladen. Diese Dateien werden ohne jegliche Authentifizierung offengelegt, was eine sofortige Informationspreisgabe ermöglicht und zu einer Privilegieneskalation oder der vollständigen Kompromittierung des Geräts führen kann.

Empfehlungen

1. Gerät ersetzen: Das Modell DIR‑859 hat das Ende seines Lebenszyklus (EoL) im Dezember 2020 erreicht; daher sind keine Patches verfügbar. Führen Sie ein Upgrade auf ein unterstütztes und sicheres Router-Modell durch.

2. Router isolieren: Bis zum Austausch sollte jeglicher WAN-/öffentliche Zugriff auf die Weboberfläche blockiert werden; beschränken Sie den Administratorzugriff ausschließlich auf ein sicheres Verwaltungsnetzwerk.

3. Netzwerk auf Exploit-Traffic überwachen: Aktivieren Sie Warnmeldungen für POST-Anfragen an /hedwig.cgi, die Verzeichnis-Traversal-Muster (../../..) enthalten, in den Web-Logs und IDS-Systemen.

4. Einstellungen schützen und überprüfen: Ändern Sie nach dem Austausch alle Passwörter, bauen Sie die ACLs neu auf und führen Sie ein Audit des Netzwerks durch, um sicherzustellen, dass keine bösartigen Konfigurationen verblieben sind.

[Callforaction-THREAT-Footer]