La CVE‑2024‑0769 est une vulnérabilité critique de type path traversal non authentifiée (score CVSS allant jusqu’à 9,8) affectant le routeur D-Link DIR‑859, arrivé en fin de vie (EoL). Elle permet à des attaquants distants d’accéder à des fichiers sensibles — tels que des fichiers XML de configuration contenant des identifiants — via l’interface CGI /hedwig.cgi. Cette faille a été activement exploitée (notamment par GreyNoise) et des preuves de concept (PoC) publiques existent.

Date	26-06-2025 12:31:26

Résumé technique

En envoyant une requête POST XML spécialement conçue vers /hedwig.cgi et en définissant le paramètre service sur un chemin tel que ../../../../htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml, les attaquants peuvent télécharger des fichiers critiques du routeur (identifiants, listes de contrôle d’accès, paramètres NAT). Ces fichiers sont exposés sans aucune authentification, permettant une divulgation immédiate d’informations et facilitant une élévation de privilèges ou la compromission complète de l’appareil.

Recommandations

1. Remplacer l’appareil : le modèle DIR‑859 a atteint sa fin de vie en décembre 2020 ; aucun correctif n’est donc disponible. Passez à un modèle de routeur pris en charge et sécurisé.

2. Isoler le routeur : en attendant son remplacement, bloquez tout accès WAN/zone publique vers son interface web ; limitez l’accès administrateur à un réseau de gestion sécurisé uniquement.

3. Surveiller le réseau pour détecter le trafic d’exploitation : activez des alertes pour les requêtes POST adressées à /hedwig.cgi contenant des motifs de traversée de répertoire (../../..) dans les journaux web et les systèmes IDS.

4. Sécuriser et vérifier les paramètres modifiés : après le remplacement, modifiez tous les mots de passe, reconstruisez les listes de contrôle d’accès (ACL) et auditez le réseau pour vous assurer qu’aucune configuration malveillante ne subsiste.

[Callforaction-THREAT-Footer]