Tehdit aktörleri, saldırganlara ters kabuklar açmak için CVE-2024-12856 olarak takip edilen Four-Faith yönlendiricilerdeki kimlik doğrulama sonrası uzaktan komut ekleme güvenlik açığından yararlanıyor.
Kötü amaçlı etkinlik, 20 Aralık 2024’te Four-Faith’e aktif istismar hakkında bilgi veren VulnCheck tarafından keşfedildi. Ancak güvenlik açığına yönelik güvenlik güncellemelerinin şu anda mevcut olup olmadığı belirsiz.
“20 Aralık 2024’te Four-Faith’e ve müşterilerimize bu sorun hakkında bilgi verdik. Yamalar, etkilenen modeller ve etkilenen ürün yazılımı sürümleriyle ilgili sorular Four-Faith’e yöneltilmelidir.” VulnCheck raporunu açıklıyor.
Kusur ayrıntıları ve kapsamı
CVE-2024-12856, genellikle enerji ve kamu hizmetleri, ulaşım, telekomünikasyon ve imalat sektörlerinde kullanılan F3x24 ve F3x36 Four-Faith yönlendirici modellerini etkileyen bir işletim sistemi komut ekleme hatasıdır.
VulnCheck, bilgisayar korsanlarının bu cihazlara erişim sağlayabileceğini çünkü birçoğunun kaba kuvvetle kolayca uygulanabilen varsayılan kimlik bilgileriyle yapılandırıldığını söylüyor.
Saldırı, yönlendiricinin ‘/apply.cgi’ uç noktasına ‘adj_time_year’ parametresini hedefleyen özel hazırlanmış bir HTTP POST isteğinin iletilmesiyle başlar.
Bu, sistem saatini ayarlamak için kullanılan bir parametredir ancak bir kabuk komutu içerecek şekilde değiştirilebilir.
VulnCheck, mevcut saldırıların, application.cgi uç noktasındaki benzer bir kusur olan ancak “ping_ip” parametresi aracılığıyla kod enjeksiyonu gerçekleştiren CVE-2019-12168’i hedef alan saldırılara benzer olduğu konusunda uyarıyor.
VulnCheck, saldırganın bilgisayarında ters kabuk oluşturarak yönlendiricilere tam uzaktan erişim sağlayan bir örnek veri paylaştı.
Kaynak: VulnCheck
Cihazın güvenliği ihlal edildikten sonra, saldırganlar kalıcılık sağlamak için yapılandırma dosyalarını değiştirebilir, diğer cihazların yönlendirilmesi için ağı keşfedebilir ve genel olarak saldırıyı tırmandırabilir.
Censys, şu anda hedef haline gelebilecek 15.000 internete yönelik Dört İnançlı yönlendiricinin bulunduğunu bildiriyor.
Bu cihazların kullanıcıları, modelleri için en son donanım yazılımı sürümünü çalıştırdıklarından emin olmalı ve varsayılan kimlik bilgilerini benzersiz ve güçlü (uzun) bir şeyle değiştirmelidir.
VulnCheck ayrıca CVE-2024-12856 istismar girişimlerini tespit etmek ve bunları zamanında engellemek için bir Suricata kuralını da paylaştı.
Son olarak kullanıcılar, CVE-2024-12856’nın etkisini nasıl azaltabilecekleri konusunda tavsiye istemek için Four-Faith satış temsilcileriyle veya müşteri destek temsilcileriyle iletişime geçmelidir.