
Según nuevos hallazgos de VulnCheck, una falla de alta gravedad que afecta a enrutadores Four-Faith seleccionados ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2024-12856 (Puntuación CVSS: 7,2), se ha descrito como un error de inyección de comandos del sistema operativo (SO) que afecta a los modelos de enrutador F3x24 y F3x36.
La gravedad de la deficiencia es menor debido al hecho de que sólo funciona si el atacante remoto puede autenticarse con éxito. Sin embargo, si las credenciales predeterminadas asociadas con los enrutadores no se han cambiado, podría resultar en la ejecución de comandos del sistema operativo no autenticados.
En el ataque detallado por VulnCheck, se descubrió que los actores de amenazas desconocidos aprovechan las credenciales predeterminadas del enrutador para activar la explotación de CVE-2024-12856 y lanzar un shell inverso para acceso remoto persistente.
El intento de explotación se originó a partir de la dirección IP. 178.215.238[.]91que se ha utilizado anteriormente en relación con ataques que buscan convertir en arma CVE-2019-12168otra falla de ejecución remota de código que afecta a los enrutadores Four-Faith. Según la firma de inteligencia de amenazas GreyNoise, los esfuerzos para explotar CVE-2019-12168 han sido grabado tan recientemente como el 19 de diciembre de 2024.
“El ataque se puede realizar, al menos, contra Four-Faith F3x24 y F3x36 a través de HTTP utilizando el punto final /apply.cgi”, Jacob Baines dicho en un informe. “Los sistemas son vulnerables a la inyección de comandos del sistema operativo en el parámetro adj_time_year al modificar la hora del sistema del dispositivo a través de submit_type=adjust_sys_time”.
Datos de Censys muestra que hay más de 15.000 dispositivos con acceso a Internet. Hay alguna evidencia sugerencia que los ataques que explotan la falla pueden haber estado en curso desde al menos principios de noviembre de 2024.
Actualmente no hay información sobre la disponibilidad de parches, aunque VulnCheck declaró que informó responsablemente la falla a la compañía china el 20 de diciembre de 2024. The Hacker News se comunicó con Four-Faith para solicitar comentarios antes de la publicación de esta historia y Actualizaremos el artículo si recibimos una respuesta.





