Four-Faith: sfruttata falla del router per aprire reverse shell

Alcuni hacker stanno sfruttando una vulnerabilità di iniezione di comandi remoti post-autenticazione nei router Four-Faith tracciata come CVE-2024-12856 per riaprire shell inverse agli aggressori. L'attività dannosa è stata scoperta da VulnCheck, che ha informato Four-Faith dello sfruttamento attivo il 20 dicembre 2024. Tuttavia, non è chiaro se siano attualmente disponibili aggiornamenti di sicurezza per la vulnerabilità. Come spiega il report di VulnCheck: "abbiamo informato Four-Faith e i nostri clienti di questo problema il 20 dicembre 2024. Domande su patch, modelli interessati e versioni firmware interessate devono essere indirizzate a Four-Faith".

CVE-2024-12856 è un difetto di iniezione di comandi del sistema operativo che colpisce i modelli di router Four-Faith F3x24 e F3x36. Questi sono solitamente distribuiti nei settori dell'energia e dei servizi di pubblica utilità, dei trasporti, delle telecomunicazioni e della produzione. VulnCheck afferma che gli hacker possono ottenere l'accesso a tali dispositivi perché molti sono configurati con credenziali predefinite. Quest’ultime sono facili da usare tramite attacchi di forza bruta.

Four-Faith: circa 15.000 router possibili bersagli

L'attacco inizia con la trasmissione di una richiesta HTTP POST appositamente creata all'endpoint '/apply.cgi' del router che prende di mira il parametro 'adj_time_year'. Questo è un parametro utilizzato per regolare l'ora di sistema, ma può essere manipolato per includere un comando shell. VulnCheck avverte che gli attacchi attuali sono simili a quelli che sfruttano CVE-2019-12168, un difetto simile tramite l'endpoint apply.cgi, ma che esegue l'iniezione di codice tramite il parametro "ping_ip". VulnCheck ha condiviso un payload di esempio che crea una shell inversa sul computer di un aggressore, dandogli pieno accesso remoto ai router. Dopo la compromissione del dispositivo, gli aggressori potrebbero modificare i suoi file di configurazione per renderli persistenti, esplorare la rete per altri dispositivi su cui fare perno e, in genere, intensificare l'attacco. Censys segnala che attualmente ci sono 15.000 router Four-Faith che potrebbero diventare obiettivi.

Gli utenti di tali dispositivi devono assicurarsi di utilizzare la versione firmware più recente per il loro modello. Inoltre, è necessario modificare le credenziali predefinite con password univoche e forti. VulnCheck ha anche condiviso una regola Suricata per rilevare i tentativi di sfruttamento di CVE-2024-12856 e bloccarli in tempo. Infine, gli utenti interessati potrebbero contattare il rappresentante di vendita Four-Faith o l'agente di assistenza clienti per richiedere consigli su come mitigare CVE-2024-12856.