Yönetişim ve Risk Yönetimi, Operasyonel Teknoloji (OT)
Saldırganlar İşletim Sistemi Komut Ekleme Güvenlik Açıklarından Yararlanıyor
Prajeet Nair (@prajeetspeaks) •
30 Aralık 2024
Bilgisayar korsanları, Çin yapımı Dört İnançlı endüstriyel yönlendiricilerdeki yüksek önemdeki komut ekleme güvenlik açığından yararlanıyor.
Ayrıca bakınız: MDR Yönetici Raporu
CVE-2024-12856 olarak takip edilen güvenlik açığı, F3x24 ve F3x36 yönlendirici modellerini etkiliyor. VulnCheck tarafından hazırlanan bir rapora göre, yönlendiricinin varsayılan kimlik bilgileri aracılığıyla uzaktan komut yürütülmesine olanak tanıyor ve potansiyel olarak binlerce cihazın tehlikeye girmesine neden oluyor.
Four-Faith’in tipik müşterileri, yönlendiricileri uzaktan izleme, kontrol sistemleri, denetleyici kontrol ve veri toplama ağları için kullanıyor. Müşteriler arasında endüstriyel otomasyon, fabrikalar ve üretim tesisleri, elektrik şebekeleri, yenilenebilir enerji tesisleri, su hizmetleri ve filo yönetimi için nakliye ve lojistik ile gerçek zamanlı veri iletimi için araç takibi yer alıyor.
CVSS puanı 7,2 olan güvenlik açığı, /apply.cgi saldırganların yararlanabileceği uç nokta adj_time_year parametre. VulnCheck, kötü niyetli kişilerin varsayılan oturum açma kimlik bilgilerini kullanarak kimlik doğrulamayı atladığını ve yama uygulanmamış sistemler için riski artırdığını keşfetti.
Araştırmacılar, Censys kullanılarak yapılan taramaya göre internete bakan yaklaşık 15.000 cihazın saldırıya açık olduğunu söyledi. Bu istismar, saldırganların etkilenen yönlendiriciler üzerinde yetkisiz kontrol sahibi olmalarına olanak tanıyacak şekilde ters kabuk yürütülmesine neden olabilir.
IP adresinden kaynaklanan aktif bir istismar kampanyası 178.215.238.91 yaygın bir hedeflemenin varlığına işaret etmektedir. VulnCheck ayrıca bulguları ile Kasım ayında belgelenen önceki istismar girişimleri arasında eşleşen kullanıcı aracısı dizelerini de tespit etti.
Suistimal girişimlerini tespit etmek için VulnCheck bir Suricata kuralı geliştirdi. Bu kural, saldırının göstergesi olan parametreleri içeren şüpheli HTTP POST isteklerini tanımlayarak kuruluşların savunmalarını güçlendirmelerine olanak tanır.
Four-Faith, VulnCheck’in sorumlu açıklama politikası kapsamında 20 Aralık’ta bu güvenlik açığı konusunda bilgilendirildi. Yamalar veya ürün yazılımı güncellemeleriyle ilgili ayrıntılar şu anda mevcut değil. Araştırmacılar, etkilenen yönlendirici modellerinin kullanıcılarına varsayılan kimlik bilgilerini değiştirmeleri, ağ maruziyetini sınırlamaları ve cihaz etkinliğini yakından izlemeleri önerildiğini söyledi.