CVE‑2024‑0769 es una vulnerabilidad crítica de path traversal no autenticada (CVSS hasta 9.8) en el router D-Link DIR‑859, el cual ha llegado al fin de su vida útil (EoL). Permite a atacantes remotos acceder a archivos sensibles —como archivos XML de configuración que contienen credenciales— a través de la interfaz CGI /hedwig.cgi. Ha sido explotada activamente (por ejemplo, por GreyNoise) y existen PoC públicos.

Fecha

2025-06-26 12:31:26

Resumen técnico

Al enviar una solicitud POST XML especialmente diseñada a /hedwig.cgi y establecer el parámetro service en una ruta como ../../../../htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml, los atacantes pueden descargar archivos críticos del router (credenciales, ACL, configuraciones NAT). Estos archivos quedan expuestos sin ninguna autenticación, lo que permite una divulgación inmediata de información y facilita la escalada de privilegios o la completa vulneración del dispositivo.

Recomendaciones

1. Sustituir el dispositivo: el modelo DIR‑859 llegó al fin de su vida útil en diciembre de 2020, por lo que no hay parches disponibles. Actualice a un modelo de router compatible y seguro.

2. Aislar el router: hasta que se realice la sustitución, bloquee todo el acceso WAN/zona pública a su interfaz web; limite el acceso de administrador únicamente a una red de gestión segura.

3. Monitorear la red en busca de tráfico de exploit: habilite alertas para solicitudes POST dirigidas a /hedwig.cgi que contengan patrones de traversal de directorio (../../..) en los registros web y en los sistemas IDS.

4. Proteger y verificar las configuraciones modificadas: tras la sustitución, cambie todas las contraseñas, reconstruya las ACL y realice una auditoría de la red para asegurarse de que no hayan quedado configuraciones maliciosas.

[Callforaction-THREAT-Footer]