15 000 роутеров под угрозой: массовая эксплуатация CVE-2024-12856 уже идёт

Специалисты VulnCheck сообщили об активной эксплуатации опасной уязвимости в маршрутизаторах бренда Four-Faith. Уязвимость, получившая идентификатор CVE-2024-12856 (CVSS: 7.2), представляет собой ошибку внедрения команд операционной системы. Она затрагивает модели F3x24 и F3x36.

Проблема приобретает серьёзность в случаях, когда пользователи не сменили стандартные учётные данные для доступа в веб-панель устройства. Это позволяет неаутентифицированным злоумышленникам выполнять произвольные команды. При успешной атаке хакеры получают удалённый доступ через обратную оболочку.

Атаки были зафиксированы с IP-адреса 178.215.238[.]91, который ранее использовался для эксплуатации уязвимости CVE-2019-12168. Эксперты GreyNoise подтвердили, что попытки атак с использованием этой уязвимости продолжались до середины декабря 2024 года.

По данным VulnCheck, уязвимость CVE-2024-12856 связана с параметром adj_time_year, используемым для изменения системного времени устройства через HTTP-запросы к /apply.cgi. Это делает эксплуатацию возможной при передаче данных через параметр submit_type=adjust_sys_time.

Аналитики Censys обнаружили более 15 000 уязвимых устройств Four-Faith, доступных в интернете, что повышает масштаб угрозы. Предполагается, что атаки начались ещё в начале ноября 2024 года. VulnCheck сообщил о проблеме разработчику 20 декабря 2024 года, однако информации о выпуске исправлений пока нет.