VulnCheck 發(fā)現(xiàn)了一個影響Four-Faith（四信）工業(yè)路由器的關鍵新漏洞，并有證據(jù)表明漏洞正在被廣泛利用。

據(jù)悉，該漏洞是一個操作系統(tǒng) （OS） 命令注入錯誤，被追蹤為CVE-2024-12856，僅在遠程攻擊者能夠成功驗證身份時起作用。但是，如果與路由器關聯(lián)的默認憑證尚未更改，則可能導致未經身份驗證的操作系統(tǒng)命令執(zhí)行。

在 VulnCheck 詳細描述的攻擊中，未知的攻擊者被發(fā)現(xiàn)利用路由器的默認憑據(jù)來觸發(fā)漏洞利用，并啟動反向 shell 以實現(xiàn)持久的遠程訪問。此次利用嘗試源自 IP 地址 178.215.238[.]91，該地址此前曾用于 CVE-2019-12168 漏洞攻擊，這是另一個影響Four-Faith 路由器的遠程代碼執(zhí)行漏洞。根據(jù)威脅情報公司 GreyNoise 的數(shù)據(jù)，截至 2024 年12 月19 日，仍有利用 CVE-2019-12168 的攻擊記錄。

VulnCheck 研究員雅各布·貝恩斯（Jacob Baines）在一份報告中表示，攻擊至少可以使用 /apply.cgi 端點 ，通過 HTTP 針對Four-Faith F3x24 和F3x36 路由器。當通過 submit_type=adjust_sys_time 修改設備的系統(tǒng)時間時，系統(tǒng)容易受到 adj_time_year 參數(shù)中操作系統(tǒng)命令注入的影響。

成功利用此漏洞后，攻擊者可以在路由器上執(zhí)行遠程代碼、安裝惡意軟件、竊取敏感數(shù)據(jù)、破壞網絡操作，并將路由器用作進一步攻擊的起點。

Censys 的數(shù)據(jù)顯示，目前有超過 1.5萬臺暴露于互聯(lián)網的四信路由器。有證據(jù)表明，利用該漏洞的攻擊可能至少從 2024 年11 月初就已經開始。

VulnCheck 表示已于 2024 年12 月20 日向廠商報告了漏洞情況，目前還暫無修復補丁發(fā)布。

路由器負責引導互聯(lián)網流量，在安全措施中經常被忽視，因此很容易成為網絡犯罪分子的目標。 最近，Censys 在 DrayTek Vigor 路由器中發(fā)現(xiàn)了 14 個關鍵漏洞，包括緩沖區(qū)溢出和操作系統(tǒng)命令注入漏洞。 現(xiàn)在，F(xiàn)our-Faith 路由器漏洞的發(fā)現(xiàn)進一步表明，需要改進安全措施來進一步保護路由器。