Kibertámadók kihasználnak egy hitelesítés utáni, távoli parancsbefecskendezési sebezhetőséget a Four-Faith routerekben, amelyet CVE-2024-12856 néven azonosítottak, hogy fordított shell-eket nyissanak a támadók felé.
A rosszindulatú tevékenységet a VulnCheck fedezte fel, amely december 20-án értesítette a Four-Faith-t az aktív kihasználásról. Az azonban nem egyértelmű, hogy a sebezhetőséghez már elérhetők-e biztonsági frissítések.
„2024. december 20-án értesítettük a Four-Faith-t és ügyfeleinket erről a problémáról. A javításokkal, érintett modellekkel és firmware-verziókkal kapcsolatos kérdéseket a Four-Faith-hez kell irányítani” – áll a VulnCheck jelentésében.
A sebezhetőség részletei és hatásai
A CVE-2024-12856 egy operációs rendszer parancsbefecskendezési hiba, amely a Four-Faith F3x24 és F3x36 router modelleket érinti. Ezeket a routereket jellemzően az energia- és közműszektorban, a közlekedésben, a távközlésben és a gyártásban használják.
A VulnCheck szerint a hackerek hozzáférhetnek ezekhez az eszközökhöz, mivel sokat alapértelmezett hitelesítési adatokkal konfiguráltak, amelyek könnyen feltörhetők.
A támadás egy speciálisan kialakított HTTP POST kérés küldésével kezdődik a router „/apply.cgi” végpontjára, amely az „adj_time_year” paramétert célozza meg.
Ez egy olyan paraméter, amelyet az eszköz rendszeridejének beállítására használnak, de manipulálható úgy, hogy shell-parancsot tartalmazzon.
A VulnCheck figyelmeztet, hogy a jelenlegi támadások hasonlóak a CVE-2019-12168 elleni korábbi támadásokhoz, amelyek szintén az apply.cgi végpontot célozták, de a „ping_ip” paraméteren keresztül hajtottak végre kódbefecskendezést.
A VulnCheck megosztott egy mintát egy olyan payload-ról, amely fordított shell-t hoz létre a támadó számítógépére, lehetővé téve a teljes távoli hozzáférést a routerekhez.
A fordított shell beállítása
A kompromittált eszköz után a támadók módosíthatják a router konfigurációs fájljait, hogy tartós hozzáférést biztosítsanak, feltérképezhetik a hálózatot további eszközök elérésére, és általában tovább fokozhatják a támadást.
A Censys jelentése szerint jelenleg körülbelül 15 000 interneten elérhető Four-Faith router létezik, amelyek célpontokká válhatnak.
Védekezési lépések
A Four-Faith routerek felhasználóinak biztosítaniuk kell, hogy a modelljük legfrissebb firmware-verzióját futtatják, és az alapértelmezett hitelesítési adatokat egyedi, erős (hosszú) jelszóra kell cserélniük.
A VulnCheck egy Suricata szabályt is közzétett, amely a CVE-2024-12856 kihasználási kísérleteinek észlelésére és időben történő blokkolására szolgál.
Végül a felhasználóknak fel kell venniük a kapcsolatot a Four-Faith értékesítési képviselőjével vagy ügyfélszolgálatával, hogy tanácsot kérjenek a CVE-2024-12856 sebezhetőség kezelésére.