Grėsmių dalyviai naudojasi po autentifikavimo nuotolinio komandų įpurškimo pažeidžiamumu „Four-Faith“ maršrutizatoriuose, stebimuose kaip CVE-2024-12856, kad atvertų atvirkštinius apvalkalus užpuolikams.
Kenkėjišką veiklą aptiko „VulnCheck“, kuri 2024 m. gruodžio 20 d. informavo „Four-Faith“ apie aktyvų išnaudojimą. Tačiau neaišku, ar šiuo metu yra pažeidžiamumo saugos naujinimų.
„2024 m. gruodžio 20 d. pranešėme „Four-Faith“ ir mūsų klientams apie šią problemą. Klausimai apie pataisas, paveiktus modelius ir paveiktas programinės aparatinės įrangos versijas turėtų būti nukreipti į „Four-Faith“. aiškinama „VulnCheck“ ataskaitoje.
Defektų detalės ir apimtis
CVE-2024-12856 yra OS komandų įvedimo trūkumas, turintis įtakos „Four-Faith“ maršrutizatorių modeliams F3x24 ir F3x36, paprastai naudojamiems energijos ir komunalinių paslaugų, transporto, telekomunikacijų ir gamybos sektoriuose.
„VulnCheck“ teigia, kad įsilaužėliai gali pasiekti šiuos įrenginius, nes daugelis jų yra sukonfigūruoti naudojant numatytuosius kredencialus, kuriuos lengva panaudoti grubia jėga.
Ataka prasideda specialiai sukurtos HTTP POST užklausos siuntimu į maršrutizatoriaus „/apply.cgi“ galutinį tašką, nukreiptą į parametrą „adj_time_year“.
Tai parametras, naudojamas sistemos laikui reguliuoti, tačiau juo galima manipuliuoti įtraukiant apvalkalo komandą.
„VulnCheck“ perspėja, kad dabartinės atakos yra panašios į atakas, nukreiptas į CVE-2019-12168 – panašią trūkumą, atsirandančią dėl galinio taško apply.cgi, bet kuri atlieka kodo įterpimą per parametrą „ping_ip“.
„VulnCheck“ pasidalijo naudingo krovinio pavyzdžiu, kuris sukuria atvirkštinį apvalkalą užpuoliko kompiuteriui, suteikdamas jam visišką nuotolinę prieigą prie maršrutizatorių.
Šaltinis: VulnCheck
Pažeidus įrenginį, užpuolikai gali modifikuoti jo konfigūracijos failus, kad jie išliktų, tyrinėti tinklą, kad galėtų persijungti į kitus įrenginius, ir apskritai eskaluoti ataką.
„Censys“ praneša, kad šiuo metu yra 15 000 į internetą nukreiptų „Four-Faith“ maršrutizatorių, kurie gali tapti taikiniais.
Šių įrenginių naudotojai turėtų įsitikinti, kad naudoja naujausią savo modelio programinės įrangos versiją, ir pakeisti numatytuosius kredencialus į kažką unikalaus ir tvirto (ilgo).
„VulnCheck“ taip pat pasidalijo Suricata taisykle, skirta aptikti CVE-2024-12856 išnaudojimo bandymus ir laiku juos blokuoti.
Galiausiai vartotojai turėtų susisiekti su savo „Four-Faith“ pardavimo atstovu arba klientų aptarnavimo atstovu ir paprašyti patarimo, kaip sumažinti CVE-2024-12856.