fbpx

Hackerek használják ki a Four-Faith router sebezhetőségét fordított shell-ek megnyitására

Kibertámadók kihasználnak egy hitelesítés utáni, távoli parancsbefecskendezési sebezhetőséget a Four-Faith routerekben, amelyet CVE-2024-12856 néven azonosítottak, hogy fordított shell-eket nyissanak a támadók felé.

A rosszindulatú tevékenységet a VulnCheck fedezte fel, amely december 20-án értesítette a Four-Faith-t az aktív kihasználásról. Az azonban nem egyértelmű, hogy a sebezhetőséghez már elérhetők-e biztonsági frissítések.

„2024. december 20-án értesítettük a Four-Faith-t és ügyfeleinket erről a problémáról. A javításokkal, érintett modellekkel és firmware-verziókkal kapcsolatos kérdéseket a Four-Faith-hez kell irányítani” – áll a VulnCheck jelentésében.

A sebezhetőség részletei és hatásai

A CVE-2024-12856 egy operációs rendszer parancsbefecskendezési hiba, amely a Four-Faith F3x24 és F3x36 router modelleket érinti. Ezeket a routereket jellemzően az energia- és közműszektorban, a közlekedésben, a távközlésben és a gyártásban használják.

A VulnCheck szerint a hackerek hozzáférhetnek ezekhez az eszközökhöz, mivel sokat alapértelmezett hitelesítési adatokkal konfiguráltak, amelyek könnyen feltörhetők.

A támadás egy speciálisan kialakított HTTP POST kérés küldésével kezdődik a router „/apply.cgi” végpontjára, amely az „adj_time_year” paramétert célozza meg.

Ez egy olyan paraméter, amelyet az eszköz rendszeridejének beállítására használnak, de manipulálható úgy, hogy shell-parancsot tartalmazzon.

A VulnCheck figyelmeztet, hogy a jelenlegi támadások hasonlóak a CVE-2019-12168 elleni korábbi támadásokhoz, amelyek szintén az apply.cgi végpontot célozták, de a „ping_ip” paraméteren keresztül hajtottak végre kódbefecskendezést.

A VulnCheck megosztott egy mintát egy olyan payload-ról, amely fordított shell-t hoz létre a támadó számítógépére, lehetővé téve a teljes távoli hozzáférést a routerekhez.

A fordított shell beállítása

A kompromittált eszköz után a támadók módosíthatják a router konfigurációs fájljait, hogy tartós hozzáférést biztosítsanak, feltérképezhetik a hálózatot további eszközök elérésére, és általában tovább fokozhatják a támadást.

A Censys jelentése szerint jelenleg körülbelül 15 000 interneten elérhető Four-Faith router létezik, amelyek célpontokká válhatnak.

Védekezési lépések

A Four-Faith routerek felhasználóinak biztosítaniuk kell, hogy a modelljük legfrissebb firmware-verzióját futtatják, és az alapértelmezett hitelesítési adatokat egyedi, erős (hosszú) jelszóra kell cserélniük.

A VulnCheck egy Suricata szabályt is közzétett, amely a CVE-2024-12856 kihasználási kísérleteinek észlelésére és időben történő blokkolására szolgál.

Végül a felhasználóknak fel kell venniük a kapcsolatot a Four-Faith értékesítési képviselőjével vagy ügyfélszolgálatával, hogy tanácsot kérjenek a CVE-2024-12856 sebezhetőség kezelésére.

Az oldal tartalma nem másolható!