根据 VulnCheck 的新发现,影响部分 Four-Faith 路由器的高严重性漏洞已在野外被积极利用。该漏洞被跟踪为 CVE-2024-12856(CVSS 评分:7.2),被描述为影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入错误。该缺点的严重性较低,因为它仅在远程攻击者能够成功验证自身时起作用。但是,如果与路由器关联的默认凭证尚未更改,则可能导致未经身份验证的操作系统命令执行。在 VulnCheck 详述的攻击中,已发现未知威胁行为者利用路由器的默认凭证来触发 CVE-2024-12856 的利用,并启动反向 shell 进行持久远程访问。利用漏洞的尝试源自 IP 地址 178.215.238[.]91 的攻击,该漏洞之前曾被用于寻求将 CVE-2019-12168 武器化的攻击,CVE-2019-12168 是另一个影响 Four-Faith 路由器的远程代码执行漏洞。据威胁情报公司 GreyNoise 称,最近在 2024 年 12 月 19 日记录了利用 CVE-2019-12168 的努力。
“至少可以使用 /apply.cgi 端点通过 HTTP 对四信仰 F3x24 和 F3x36 进行攻击,”雅各布·贝恩斯在一份报告中说。“通过 submit_type=adjust_sys_time 修改设备的系统时间时,系统容易受到 adj_time_year 参数中操作系统命令注入的影响。”来自 Censys 的数据显示,有超过 15,000 台面向 Internet 的设备。有证据表明,至少从 2024 年 11 月初开始,利用该漏洞的攻击可能就一直在进行。目前没有关于补丁可用性的信息,尽管 VulnCheck 表示它于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。