脅威行為者は、CVE-2024-12856 として追跡されている Four-Faith ルーターの認証後リモートコマンドインジェクションの脆弱性を悪用し、攻撃者に戻るリバースシェルを開いています。
この悪質な活動はVulnCheckによって発見され、VulnCheckは2024年12月20日にFour-Faithに活発な悪用について通知しました。しかし、この脆弱性に対するセキュリティアップデートが現在提供されているかどうかは不明である。
「我々は、2024年12月20日にこの問題についてFour-Faithとお客様に通知しました。パッチ、影響を受けるモデル、および影響を受けるファームウェアのバージョンに関する質問は、Four-Faithに直接お問い合わせください」とVulnCheckレポートは説明している。
欠陥の詳細と範囲
CVE-2024-12856は、OSコマンド・インジェクションの欠陥であり、Four-Faithのルーター・モデルF3x24およびF3x36に影響を与えます。
VulnCheckによると、ハッカーはこれらのデバイスにアクセスすることができますが、その理由は、その多くが総当たり攻撃が容易なデフォルトの認証情報で構成されているためです。
この攻撃は、ルーターの「/apply.cgi」エンドポイントに、「adj_time_year」パラメータを標的とした特別に細工されたHTTP POSTリクエストを送信することから始まる。
これは、システム時刻を調整するために使用されるパラメータですが、シェルコマンドを含めるように操作することができます。
VulnCheckは、今回の攻撃は、apply.cgiエンドポイントを介した同様の欠陥であるCVE-2019-12168を標的とした攻撃と類似しているが、「ping_ip」パラメータを介してコードインジェクションを実行するものであると警告している。
VulnCheckは、攻撃者のコンピュータにリバースシェルを作成し、ルータへのフルリモートアクセスを可能にするサンプルペイロードを共有した。
ソースはこちら:VulnCheck
デバイスが侵害された後、攻撃者は永続性を保つためにその設定ファイルを変更し、他のデバイスに軸足を移すためにネットワークを探索し、一般的に攻撃をエスカレートさせる可能性があります。
Censysの報告によると、現在、インターネットに接続されているFour-Faithルーターは15,000台あり、標的となる可能性があります。
これらのデバイスのユーザーは、そのモデルの最新のファームウェア・バージョンを実行していることを確認し、デフォルトの認証情報をユニークで強力なもの(長いもの)に変更する必要がある。
VulnCheckはまた、CVE-2024-12856の悪用の試みを検出し、時間内にブロックするためのSuricataルールを共有しています。
最後に、ユーザーはFour-Faithの営業担当者またはカスタマーサポート担当者に連絡し、CVE-2024-12856を緩和する方法について助言を求めてください。
The post ハッカー、Four-Faithルーターの欠陥を悪用しリバースシェルを開く first appeared on PRSOL:CC.