یک نقص با شدت بالا که روی برخی روترهای Four-Faith تأثیر میگذارد، بهتازگی توسط مهاجمان بهصورت فعال مورد سوءاستفاده قرار گرفته است. این موضوع توسط شرکت VulnCheck گزارش شده است.
این آسیبپذیری با شناسه CVE-2024-12856 و امتیاز CVSS: 7.2 بهعنوان یک نقص تزریق دستورات سیستمعامل (OS Command Injection) شناسایی شده که مدلهای روتر F3x24 و F3x36 را تحت تأثیر قرار میدهد.
این نقص زمانی قابل بهرهبرداری است که مهاجم بتواند بهطور موفقیتآمیز احراز هویت کند. با این حال، اگر اطلاعات پیشفرض ورود به روترها تغییر نکرده باشد، این آسیبپذیری میتواند به اجرای دستورات سیستمعامل بدون نیاز به احراز هویت منجر شود.
در حملهای که توسط VulnCheck بررسی شده، مهاجمان ناشناس از اطلاعات پیشفرض ورود به روتر برای سوءاستفاده از آسیبپذیری CVE-2024-12856 استفاده کرده و یک شِل معکوس (Reverse Shell) برای دسترسی دائمی از راه دور ایجاد کرده است.
این تلاش برای بهرهبرداری از آدرس آیپی 178.215.238[.]91 آغاز شده است. این آدرس قبلاً در حملاتی که آسیبپذیری CVE-2019-12168 (یک نقص اجرای کد از راه دور دیگر در روترهای Four-Faith) را هدف قرار میداد، استفاده شده بود. بر اساس اطلاعات شرکت امنیتی GreyNoise، تلاشها برای بهرهبرداری از CVE-2019-12168 تا تاریخ ۱۹ دسامبر ۲۰۲۴ ثبت شده است.
جیکوب بینز در گزارشی توضیح داد: «حمله میتواند حداقل بر روی مدلهای Four-Faith F3x24 و F3x36 از طریق HTTP و با استفاده از endpoint /apply.cgi انجام شود. سیستمها در پارامتر adj_time_year هنگام تغییر زمان سیستم دستگاه از طریق submit_type=adjust_sys_time در معرض تزریق دستورات سیستمعامل قرار دارند.»
اطلاعات جمعآوریشده از Censys نشان میدهد که بیش از ۱۵,۰۰۰ دستگاه متصل به اینترنت در معرض این آسیبپذیری هستند. شواهدی وجود دارد که نشان میدهد حملات مرتبط با این نقص حداقل از اوایل نوامبر ۲۰۲۴ آغاز شدهاند.
در حال حاضر اطلاعاتی درباره ارائه وصله امنیتی منتشر نشده است. با این حال، VulnCheck اعلام کرده که این آسیبپذیری را در تاریخ ۲۰ دسامبر ۲۰۲۴ بهصورت مسئولانه به شرکت چینی Four-Faith گزارش کرده است. The Hacker News نیز پیش از انتشار این گزارش با Four-Faith تماس گرفته و در صورت دریافت پاسخ، این مطلب را بهروزرسانی خواهد کرد.
منبع : https://thehackernews.com/2024/12/15000-four-faith-routers-exposed-to-new.html
