Plus de 15 000 routeurs Four-Faith exposés à un nouvel exploit en raison d’informations d’identification par défaut
Selon de nouvelles découvertes de VulnCheck, une faille de haute gravité affectant certains routeurs Four-Faith est actuellement exploitée activement dans la nature.
La vulnérabilité, identifiée comme CVE-2024-12856 (score CVSS : 7,2), a été décrite comme un bogue d’injection de commande du système d’exploitation (OS) affectant les modèles de routeur F3x24 et F3x36.
La gravité de cette faille est moindre car elle ne fonctionne que si l’attaquant distant parvient à s’authentifier. Cependant, si les informations d’identification par défaut associées aux routeurs n’ont pas été modifiées, cela peut entraîner l’exécution de commandes OS non authentifiées.
Dans l’attaque détaillée par VulnCheck, les acteurs de la menace inconnus ont été découverts en train d’exploiter les informations d’identification par défaut du routeur pour déclencher l’exploitation de CVE-2024-12856 et lancer un shell inversé pour un accès à distance persistant.
La tentative d’exploitation provenait de l’adresse IP 178.215.238[.]91 , qui a déjà été utilisée dans le cadre d’attaques visant à exploiter CVE-2019-12168 , une autre faille d’exécution de code à distance affectant les routeurs Four-Faith. Selon la société de renseignement sur les menaces GreyNoise, des tentatives d’exploitation de CVE-2019-12168 ont été enregistrées aussi récemment que le 19 décembre 2024.
« L’attaque peut être menée au moins contre les Four-Faith F3x24 et F3x36 via HTTP en utilisant le point de terminaison /apply.cgi », a déclaré Jacob Baines dans un rapport. « Les systèmes sont vulnérables à l’injection de commandes OS dans le paramètre adj_time_year lors de la modification de l’heure système de l’appareil via submit_type=adjust_sys_time. »
Les données de Censys montrent que plus de 15 000 appareils connectés à Internet sont concernés. Certains éléments suggèrent que des attaques exploitant la faille pourraient être en cours depuis au moins début novembre 2024.
Il n’y a actuellement aucune information sur la disponibilité des correctifs, bien que VulnCheck ait déclaré avoir signalé de manière responsable la faille à la société chinoise le 20 décembre 2024. The Hacker News a contacté Four-Faith pour obtenir un commentaire avant la publication de cet article et mettra à jour l’article si nous avons une réponse.