Les auteurs de menaces exploitent une vulnérabilité d’injection de commande à distance post-authentification dans des routeurs à quatre foi suivis sous le nom de CVE-2024-12856 pour ouvrir des shells inversés aux attaquants.
L’activité malveillante a été découverte par VulnCheck, qui a informé Four-Faith de l’exploitation active le 20 décembre 2024. Cependant, il n’est pas clair si des mises à jour de sécurité pour la vulnérabilité sont actuellement disponibles.
« Nous avons informé Four-Faith et nos clients de ce problème le 20 décembre 2024. Les questions sur les correctifs, les modèles affectés et les versions de micrologiciel affectées doivent être adressées à Four-Faith. »explique le rapport VulnCheck.
Détails et portée de la faille
CVE-2024-12856 est une faille d’injection de commandes du système d’exploitation affectant les modèles de routeurs à quatre foi F3x24 et F3x36, généralement déployés dans les secteurs de l’énergie et des services publics, des transports, des télécommunications et de la fabrication.
VulnCheck dit que les pirates peuvent accéder à ces appareils car beaucoup sont configurés avec des informations d’identification par défaut, qui sont faciles à forcer brutalement.
L’attaque commence par la transmission d’une requête HTTP POST spécialement conçue au routeur ‘/apply.point de terminaison cgi ciblant le paramètre ‘adj_time_year’.
C’est un paramètre utilisé pour ajuster l’heure du système, mais il peut être manipulé pour inclure une commande shell.
VulnCheck avertit que les attaques actuelles sont similaires à celles ciblant CVE-2019-12168, une faille similaire via l’application.point de terminaison cgi, mais qui effectue l’injection de code via le paramètre « ping_ip ».
VulnCheck a partagé un exemple de charge utile qui crée un shell inversé sur l’ordinateur d’un attaquant, lui donnant un accès à distance complet aux routeurs.
Après la compromission de l’appareil, les attaquants peuvent modifier ses fichiers de configuration pour la persistance, explorer le réseau pour que d’autres appareils puissent pivoter et, généralement, intensifier l’attaque.
Le recensement indique qu’il y a actuellement 15 000 routeurs à quatre confessions connectés à Internet qui pourraient devenir des cibles.
Les utilisateurs de ces appareils doivent s’assurer qu’ils exécutent la dernière version du micrologiciel pour leur modèle et changer les informations d’identification par défaut en quelque chose d’unique et fort (long).
VulnCheck a également partagé une règle Suricata pour détecter les tentatives d’exploitation CVE-2024-12856 et les bloquer à temps.
Enfin, les utilisateurs doivent contacter leur représentant commercial ou leur agent de support client Four-Faith pour demander des conseils sur la manière d’atténuer CVE-2024-12856.