15.000+ Dört İnançlı Yönlendirici, Varsayılan Kimlik Bilgileri Nedeniyle Yeni İstismarlara Maruz Kaldı

VulnCheck'in yeni bulgularına göre, belirli Four-Faith endüstriyel yönlendiricileri etkileyen yüksek şiddette bir kusur, vahşi doğada aktif olarak sömürüldü.

CVE-2024-12856 (CVSS puanı: 7.2) olarak izlenen güvenlik açığı, F3x24 ve F3x36 yönlendirici modellerini etkileyen bir işletim sistemi (OS) komut enjeksiyon hatası olarak tanımlandı.

Eksikliğin ciddiyeti, yalnızca uzaktaki saldırganın kimliğini başarılı bir şekilde doğrulayabilmesi durumunda işe yaraması nedeniyle daha düşüktür. Ancak, yönlendiricilerle ilişkili varsayılan kimlik bilgileri değiştirilmediyse, kimliği doğrulanmamış işletim sistemi komutunun yürütülmesine neden olabilir.

VulnCheck tarafından detaylandırılan saldırıda, bilinmeyen tehdit aktörlerinin CVE-2024-12856'dan yararlanmayı tetiklemek ve kalıcı uzaktan erişim için bir ters kabuk başlatmak için yönlendiricinin varsayılan kimlik bilgilerini kullandığı bulundu.

İstismar girişimi 178.215.238[.]Daha önce CVE-2019-12168'i silahlandırmaya çalışan saldırılarla bağlantılı olarak kullanılan 91, Four-Faith yönlendiricilerini etkileyen başka bir uzaktan kod yürütme kusuru. Tehdit istihbarat firması GreyNoise'a göre, CVE-2019-12168'den yararlanma çabaları 19 Aralık 2024 gibi yakın bir tarihte kaydedildi.

Jacob Baines bir raporda, "Saldırı, en azından, /apply.cgi uç noktası kullanılarak HTTP üzerinden Four-Faith F3x24 ve F3x36'ya karşı gerçekleştirilebilir" dedi. "Sistemler, cihazın sistem saatini submit_type=adjust_sys_time aracılığıyla değiştirirken adj_time_year parametresinde işletim sistemi komut enjeksiyonuna karşı savunmasızdır."

Censys'ten alınan veriler, 15.000'den fazla internete yönelik cihaz olduğunu gösteriyor. Kusurdan yararlanan saldırıların en azından Kasım 2024'ün başından beri devam ediyor olabileceğini gösteren bazı kanıtlar var.

Baines, verdiği bir demeçte, "saldırıların yaygın olduğunu ve yaygın olmadığını" söyledi ve ekledi: "Az miktarda saldırgan var, ancak tüm interneti spam yapıyor gibi görünüyorlar (çok düşük bir oranda)." Saldırılar, Mirai benzeri bir yükün indirilmesiyle sonuçlandı.

Şu anda yamaların mevcudiyeti hakkında herhangi bir bilgi yok, ancak VulnCheck kusuru 20 Aralık 2024'te Çinli şirkete sorumlu bir şekilde bildirdiğini belirtti.

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.