Prema novim nalazima VulnCheck-a, velika greška koja pogađa odabrane Four-Faith rutere našla se pod aktivnom eksploatacijom u divljini.
Ranjivost, praćena kao CVE-2024-12856 (CVSS rezultat: 7,2), opisana je kao greška ubrizgavanja komande operativnog sistema (OS) koja utiče na modele rutera F3x24 i F3x36.
Ozbiljnost nedostatka je manja zbog činjenice da radi samo ako je udaljeni napadač u mogućnosti da se uspješno autentifikuje. Međutim, ako zadane krendicijale povezane s ruterima nisu promijenjene, to bi moglo dovesti do neautoriziranog izvršavanja OS naredbe.
U napadu koji je detaljno opisao VulnCheck, otkriveno je da nepoznati hakeri koriste zadane krendicijale rutera kako bi pokrenuli eksploataciju CVE-2024-12856 i pokrenuli obrnutu ljusku za uporan daljinski pristup.
Pokušaj eksploatacije potekao je od IP adrese 178.215.238[.]91 , koja je ranije korištena u vezi s napadima koji su pokušavali da oruže CVE-2019-12168 , još jednu grešku u daljinskom izvršavanju koda koja pogađa Four-Faith rutere. Prema kompaniji GreyNoise za obavještajne podatke o prijetnjama, pokušaji eksploatacije CVE-2019-12168 zabilježeni su tek 19. decembra 2024.
“Napad se može izvesti barem protiv Four-Faith F3x24 i F3x36 preko HTTP-a koristeći /apply.cgi krajnju tačku”, rekao je Jacob Baines u izvještaju. “Sistemi su ranjivi na ubrizgavanje OS komande u parametru adj_time_year kada se modifikuje sistemsko vrijeme uređaja putem submit_type=adjust_sys_time.”
Podaci iz Censysa pokazuju da postoji preko 15.000 uređaja koji su okrenuti internetu. Postoje neki dokazi koji upućuju na to da su napadi koji iskorištavaju nedostatak možda u toku barem od početka novembra 2024.
Trenutno nema informacija o dostupnosti zakrpa, iako je VulnCheck naveo da je odgovorno prijavio propust kineskoj kompaniji 20. decembra 2024. Hacker News je kontaktirao Four-Faith za komentar prije objavljivanja ove priče i ažurirat ćemo članak ako se javimo.
Izvor:The Hacker News