Kritik Kusur, Dört İnançlı Yönlendiricileri Uzaktan Suiistimale Açık Hale Getiriyor

   Aralık 30, 2024  Posted in HackRead


ÖZET:

  • Güvenlik Açığı: CVE-2024-12856, Four-Faith yönlendiricileri (F3x24 ve F3x36 modelleri) etkileyerek uzaktan kod yürütülmesine olanak tanır.
  • Yoldan Yararlanma: Saldırganlar şunları kullanır: /apply.cgi yararlanmak için uç nokta adj_time_year parametre.
  • Risk: Varsayılan kimlik bilgilerine sahip 15.000’den fazla cihaz yüksek risk altındadır.
  • Darbe: Açıklardan yararlanmalar, kötü amaçlı yazılım kurulumuna, veri hırsızlığına ve ağ kesintisine neden olur.
  • Düzeltmek: Firmware’i güncelleyin, varsayılan kimlik bilgilerini değiştirin ve algılama için Suricata kurallarını kullanın.

VulnCheck, dört-Faith endüstriyel yönlendiricileri (F3x24 ve F3x36) etkileyen ve vahşi ortamda aktif olarak kullanıldığına dair kanıtlar içeren yeni ve kritik bir güvenlik açığı (CVE-2024-12856) keşfetti. Şirkete göre bu, saldırganların yönlendiricinin sistem zaman ayarlama işlevindeki bir zayıflıktan yararlanarak savunmasız cihazlar üzerinde komutları uzaktan yürütmesine olanak tanıyan bir kimlik doğrulama sonrası kusur güvenlik açığıdır.

“Saldırı, en azından Four-Faith F3x24 ve F3x36’ya karşı HTTP üzerinden /apply.cgi uç noktası kullanılarak gerçekleştirilebilir. VulnCheck araştırmacısı Jacob Baines, Hackread.com ile paylaşılan blog yazısında Censys’in internete bağlı yaklaşık 15.000 cihaz bulduğunu yazdı.

VulnCheck İlk Erişim ekibinin araştırmasına göre, saldırı özellikle sistem yapılandırma değişikliklerine izin veren /apply.cgi uç noktasını hedef alıyor. Saldırganlar, bir POST isteğinde adj_time_year parametresini (yönlendiricinin sistem saatini değiştirmekten sorumludur) değiştirerek kötü amaçlı komutlar enjekte edebilir.

Saldırı, yönlendiricinin varsayılan kimlik bilgilerini kullandığından bu, kimlik doğrulamayı atlar. Ancak Baines, her ikisinin de aynı application.cgi uç noktasından geçmesine rağmen bu güvenlik açığının CVE-2019-12168 ile karıştırılmaması gerektiğini belirtti.

Ayrıca VulnCheck, 178.215.23891 IP adresinden kaynaklanan istismar girişimlerini de gözlemledi. Ürün yazılımı sürümünün varsayılan kimlik bilgileri, değiştirilmediği takdirde güvenlik açığını kimlik doğrulaması yapılmamış ve uzaktan işletim sistemi komut yürütme sorununa dönüştürebilir.

Ayrıca, Kasım 2024’te yayınlanan başka bir araştırma blogu da bu güvenlik açığından yararlanıldığını belgeledi; gözlemlenen Kullanıcı Aracısı, gözlemlenen Kullanıcı Aracısı VulnCheck ile eşleşti, ancak farklı bir yük ile VulnCheck’in bulgularını doğruladı.

Başarılı bir şekilde yararlanma, saldırganların bir yönlendirici üzerinde uzaktan kod yürütmesine, kötü amaçlı yazılım yüklemesine, hassas verileri çalmasına, ağ işlemlerini kesintiye uğratmasına ve yönlendiriciyi daha sonraki saldırılar için bir başlangıç ​​noktası olarak kullanmasına olanak tanır.

Bu tehdidi azaltmak amacıyla VulnCheck, ağdaki istismar girişimlerini tespit etmek için bir Suricata kuralı sağladı. Bu kural, HTTP trafiğini izler ve özellikle /apply.cgi’ye ayar_sys_time parametresi ile yapılan POST isteklerini ve adj_time_year alanındaki şüpheli kalıpları arar.

VulnCheck ayrıca bu güvenlik açığını Four-Faith’e ve müşterilerine sorumlu bir şekilde açıkladı. Kullanıcıların yamalar, etkilenen modeller ve ürün yazılımı sürümleri hakkında bilgi almak için doğrudan Four-Faith ile iletişime geçmeleri önerilir.

İnternet trafiğini yönlendirmekten sorumlu yönlendiriciler genellikle güvenlik önlemlerinde göz ardı ediliyor ve bu da onları siber suçlular için kolay hedef haline getiriyor. Varsayılan parolaların ve güncelliğini yitirmiş aygıt yazılımlarının yaygınlığı, genellikle yama yapılmamış güvenlik açıkları içerdikleri için önemli bir güvenlik riski oluşturur.

Son zamanlarda Censys, DrayTek Vigor yönlendiricilerinde arabellek taşması ve işletim sistemi komut enjeksiyon kusuru da dahil olmak üzere 14 kritik güvenlik açığını ortaya çıkardı. Artık Dört İnançlı yönlendiricilerdeki güvenlik açığının keşfi, yönlendiricileri ve kullanıcılarını korumak için gelişmiş güvenlik önlemlerine duyulan ihtiyacı daha da gösteriyor.

  1. Yeni Botnet’ler Eski D-Link Router’ı DDoS Saldırıları İçin Kullanıyor
  2. Condi DDoS Botnet, Savunmasız TP-Link AX21 Yönlendiricilerini Hedefliyor
  3. FBI: Bilgisayar Korsanları Veri ve Botnet Oluşturma Amaçlı Ubiquiti Yönlendiricilerini Hedefliyor
  4. ASUS ve NordVPN Ortaklığı, VPN Hizmetini Yönlendiricilere Entegre Edecek
  5. 72 Saatte 6.000 Asus Yönlendirici Hacklendi TheMoon Kötü Amaçlı Yazılım





Source link