Según los nuevos hallazgos de VulnCheck, una falla de alta gravedad que afecta a enrutadores Four-Faith seleccionados ha sido explotada activamente.
La vulnerabilidad, identificada como CVE-2024-12856 (puntuación CVSS: 7,2), se ha descrito como un error de inyección de comandos del sistema operativo (SO) que afecta a los modelos de enrutador F3x24 y F3x36.
La gravedad de la deficiencia es menor debido al hecho de que solo funciona si el atacante remoto puede autenticarse con éxito. Sin embargo, si las credenciales predeterminadas asociadas con los enrutadores no se han cambiado, podría resultar en la ejecución de comandos del SO no autenticados.
En el ataque detallado por VulnCheck, se ha descubierto que los actores de amenazas desconocidos aprovechan las credenciales predeterminadas del enrutador para activar la explotación de CVE-2024-12856 y lanzar un shell inverso para el acceso remoto persistente.
El intento de explotación se originó desde la dirección IP 178.215.238[.]91, que se ha utilizado anteriormente en relación con ataques que buscan convertir en arma CVE-2019-12168, otra falla de ejecución de código remoto que afecta a los enrutadores Four-Faith. Según la empresa de inteligencia de amenazas GreyNoise, los intentos de explotar CVE-2019-12168 se han registrado tan recientemente como el 19 de diciembre de 2024.
Los datos de Censys muestran que hay más de 15.000 dispositivos conectados a Internet. Hay algunas pruebas que sugieren que los ataques que explotan la falla pueden haber estado en curso desde al menos principios de noviembre de 2024.
Actualmente no hay información sobre la disponibilidad de parches, aunque VulnCheck afirmó que informó responsablemente sobre la falla a la empresa china el 20 de diciembre de 2024.