VulnCheck ha recentemente scoperto una vulnerabilità critica nei router industriali Four-Faith, specificamente nei modelli F3x24 e F3x36. Questa vulnerabilità, identificata come CVE-2024-12856, consente agli attaccanti remoti l’iniezione di comandi arbitrari sul sistema operativo del router tramite l’endpoint “apply.cgi”.
Dettagli della vulnerabilità
La vulnerabilità risiede nella gestione della modifica dell’ora di sistema. Gli attaccanti possono sfruttare questa falla inviando richieste HTTP POST appositamente formattate che contengono comandi malevoli nel campo “adj_time_year”. Questo è possibile per mancanza di sanitizzazione degli input nel codice del router.
Se le credenziali predefinite del router non fossero state modificate, gli attaccanti potrebbero sfruttare questa vulnerabilità senza necessità di autenticazione, ottenendo così accesso non autorizzato al dispositivo. Una volta compromesso, il router potrebbe essere utilizzato per eseguire comandi malevoli, compromettere dati sensibili, interrompere operazioni critiche e potenzialmente attaccare altri sistemi all’interno della rete di appartenenza.
Attacchi documentati
Sono stati osservati tentativi di sfruttamento della vulnerabilità da indirizzi IP noti per attività malevole precedenti. Gli attacchi documentati utilizzano un payload che garantisce agli aggressori un accesso persistente ai dispositivi compromessi.
VulnCheck ha documentato come esempio un exploit tipico che rilascia una reverse shell per ottenere l’accesso remoto al router.
Raccomandazioni
Per mitigare il rischio associato a questa vulnerabilità, si consiglia di:
– Cambiare immediatamente le credenziali predefinite del router.
– Applicare aggiornamenti e patch forniti dal produttore.
– Limitare l’accesso remoto ai dispositivi solo a indirizzi IP di fiducia.
– Monitorare il traffico di rete per rilevare attività sospette.
“Abbiamo informato Four-Faith e i nostri clienti di questo problema il 20 dicembre 2024. Domande su patch, modelli interessati e versioni firmware interessate devono essere indirizzate a Four-Faith“, conclude il rapporto VulnCheck.
Vale la pena notare che secondo Censys, oltre 15.000 dispositivi Four-Faith sarebbero esposti su Internet, rendendoli di fatto bersagli facili per campagne mirate.