Hackers aprovechan la falla del enrutador Four-Faith para abrir reverse shells

Iniciado por AXCESS, Diciembre 31, 2024, 10:34:13 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 31, 2024, 10:34:13 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas están explotando una vulnerabilidad de inyección remota de comandos posterior a la autenticación en los enrutadores Four-Faith identificada como CVE-2024-12856 para abrir reverse shells para los atacantes.

La actividad maliciosa fue descubierta por VulnCheck, que informó a Four-Faith sobre la explotación activa el 20 de diciembre de 2024. Sin embargo, no está claro si hay actualizaciones de seguridad disponibles actualmente para la vulnerabilidad.

"Notificamos a Four-Faith y a nuestros clientes sobre este problema el 20 de diciembre de 2024. Las preguntas sobre parches, modelos afectados y versiones de firmware afectadas deben dirigirse a Four-Faith", explica el informe de VulnCheck.

Detalles y alcance de la falla

CVE-2024-12856 es una falla de inyección de comandos del sistema operativo que afecta a los modelos de enrutadores Four-Faith F3x24 y F3x36, que se implementan generalmente en los sectores de energía y servicios públicos, transporte, telecomunicaciones y fabricación.

VulnCheck dice que los piratas informáticos pueden obtener acceso a esos dispositivos porque muchos están configurados con credenciales predeterminadas, que son fáciles de forzar.

El ataque comienza con la transmisión de una solicitud HTTP POST especialmente diseñada al punto final '/apply.cgi' del enrutador que apunta al parámetro 'adj_time_year'.

Este es un parámetro que se usa para ajustar la hora del sistema, pero se puede manipular para incluir un comando de shell.

VulnCheck advierte que los ataques actuales son similares a los que apuntan a CVE-2019-12168, una falla similar a través del punto final apply.cgi, pero que realiza la inyección de código a través del parámetro "ping_ip".

VulnCheck compartió una muestra de carga útil que crea un reverse shells para la computadora de un atacante, dándoles acceso remoto completo a los enrutadores.

Configurar un reverse Shell
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Después de que el dispositivo se vea comprometido, los atacantes pueden modificar sus archivos de configuración para que perdure, explorar la red en busca de otros dispositivos a los que recurrir y, en general, intensificar el ataque.

Censys informa que actualmente hay 15 000 enrutadores Four-Faith con conexión a Internet que podrían convertirse en objetivos.

Los usuarios de esos dispositivos deben asegurarse de que estén ejecutando la última versión de firmware para su modelo y cambiar las credenciales predeterminadas por algo único y sólido (largo).

VulnCheck también ha compartido una regla de Suricata para detectar intentos de explotación de CVE-2024-12856 y bloquearlos a tiempo.

Por último, los usuarios deben comunicarse con su representante de ventas de Four-Faith o con su agente de atención al cliente para solicitar asesoramiento sobre cómo mitigar CVE-2024-12856.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario