Actorii de amenințare exploatează o vulnerabilitate de injectare de comenzi la distanță post-autentificare în routerele Four-Faith, urmărită sub numele de CVE-2024-12856, pentru a deschide shell-uri inverse către atacatori.
Activitatea malitioasă a fost descoperită de VulnCheck, care a informat Four-Faith despre exploatarea activă pe 20 decembrie 2024. Cu toate acestea, nu este clar dacă sunt disponibile actualizări de securitate pentru această vulnerabilitate.
„Am notificat Four-Faith și clienții noștri cu privire la această problemă pe 20 decembrie 2024. Întrebările referitoare la patch-uri, modele afectate și versiunile de firmware afectate ar trebui direcționate către Four-Faith.” explică raportul VulnCheck.
CVE-2024-12856 este o defecțiune de injectare de comenzi OS care afectează modelele de routere Four-Faith F3x24 și F3x36, de obicei implementate în sectoarele de energie și utilități, transport, telecomunicații și producție.
VulnCheck spune că hackerii pot obține acces la aceste dispozitive deoarece multe sunt configurate cu credențiale implicite, care sunt ușor de forțat.
Atacul începe cu transmiterea unei cereri POST HTTP special create către endpoint-ul ‘/apply.cgi’ al routerului, vizând parametrul ‘adj_time_year’.
Acesta este un parametru folosit pentru ajustarea timpului sistemului, dar poate fi manipulat pentru a include o comandă shell.
VulnCheck avertizează că atacurile curente sunt similare cu cele care vizează CVE-2019-12168, o defecțiune similară prin endpoint-ul apply.cgi, dar care efectuează injectarea de cod prin parametrul „ping_ip”.
VulnCheck a distribuit un exemplu de payload care creează un shell invers către computerul atacatorului, acordându-le acces complet la distanță la routere.
După compromiterea dispozitivului, atacatorii pot modifica fișierele sale de configurare pentru persistență, explora rețeaua pentru alte dispozitive către care să pivoteze și în general escalada atacul.
Censys raportează că există în prezent 15.000 de routere Four-Faith expuse pe internet care ar putea deveni ținte.
Utilizatorii acestor dispozitive ar trebui să se asigure că rulează cea mai recentă versiune de firmware pentru modelul lor și să schimbe credențialele implicite cu ceva unic și puternic (lung).
VulnCheck a distribuit, de asemenea, o regulă Suricata pentru a detecta încercările de exploatare CVE-2024-12856 și a le bloca la timp.
În cele din urmă, utilizatorii ar trebui să contacteze reprezentantul lor de vânzări Four-Faith sau un agent de suport pentru a solicita sfaturi cu privire la modul de atenuare a CVE-2024-12856.
CISA etichetează defecțiunea Progress Kemp LoadMaster ca exploatată în atacuri
D-Link nu va remedia o defecțiune critică în 60.000 de modemuri EoL expuse
Hackerii vizează o vulnerabilitate zero-day critică în camerele PTZ
Hackerii exploatează defecțiunea DoS pentru a dezactiva firewall-urile Palo Alto Networks
Noua defecțiune critică Apache Struts este exploatată pentru a găsi serverele vulnerabile
Leave a Reply