Según nuevos hallazgos de VulnCheck, una falla de alta gravedad que afecta a enrutadores Four-Faith seleccionados ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2024-12856 (puntuación CVSS: 7,2), se ha descrito como un error de inyección de comandos del sistema operativo (SO) que afecta a los modelos de enrutador F3x24 y F3x36.
La gravedad de la deficiencia es menor debido al hecho de que sólo funciona si el atacante remoto puede autenticarse con éxito. Sin embargo, si las credenciales predeterminadas asociadas con los enrutadores no se han cambiado, podría resultar en la ejecución de comandos del sistema operativo no autenticados.
En el ataque detallado por VulnCheck, se descubrió que los actores de amenazas desconocidos aprovechan las credenciales predeterminadas del enrutador para activar la explotación de CVE-2024-12856 y lanzar un shell inverso para acceso remoto persistente.
El intento de explotación se originó en la dirección IP 178.215.238(.)91, que se ha utilizado anteriormente en relación con ataques que buscan convertir en arma CVE-2019-12168, otra falla de ejecución remota de código que afecta a los enrutadores Four-Faith. Según la firma de inteligencia de amenazas GreyNoise, los esfuerzos para explotar CVE-2019-12168 se registraron el 19 de diciembre de 2024.
“El ataque se puede realizar, al menos, contra Four-Faith F3x24 y F3x36 a través de HTTP utilizando el punto final /apply.cgi”, dijo Jacob Baines en un informe. “Los sistemas son vulnerables a la inyección de comandos del sistema operativo en el parámetro adj_time_year al modificar la hora del sistema del dispositivo a través de submit_type=adjust_sys_time”.
Los datos de Censys muestran que hay más de 15.000 dispositivos con acceso a Internet. Existe cierta evidencia que sugiere que los ataques que aprovechan la falla pueden haber estado en curso desde al menos principios de noviembre de 2024.
Actualmente no hay información sobre la disponibilidad de parches, aunque VulnCheck declaró que informó responsablemente la falla a la compañía china el 20 de diciembre de 2024. The Hacker News se comunicó con Four-Faith para solicitar comentarios antes de la publicación de esta historia y Actualizaremos el artículo si recibimos una respuesta.
