Hơn 15.000 Bộ định tuyến Four-Faith bị khai thác lỗ hổng mới do thông tin xác thực mặc định

www.tuoitre.vn -   26/12/2024 08:00:00 78

Theo những phát hiện mới từ Chuyên gia bảo mật, một lỗ hổng nghiêm trọng ảnh hưởng đến một số bộ định tuyến công nghiệp Four-Faith đã bị khai thác tích cực trong thực tế.

Hơn 15.000 Bộ định tuyến Four-Faith bị khai thác lỗ hổng mới do thông tin xác thực mặc định

Lỗ hổng được theo dõi là CVE-2024-12856 (điểm CVSS: 7.2), được mô tả là lỗi tiêm lệnh hệ điều hành (OS) ảnh hưởng đến các mẫu bộ định tuyến F3x24 và F3x36.

Mức độ nghiêm trọng của lỗ hổng thấp hơn do thực tế là nó chỉ hoạt động nếu kẻ tấn công từ xa có thể xác thực thành công. Tuy nhiên, nếu thông tin xác thực mặc định liên quan đến bộ định tuyến chưa được thay đổi, điều này có thể dẫn đến việc thực thi lệnh OS chưa được xác thực.

Trong cuộc tấn công được Chuyên gia bảo mật nêu chi tiết, các tác nhân đe dọa chưa xác định đã được phát hiện tận dụng thông tin xác thực mặc định của bộ định tuyến để kích hoạt khai thác CVE-2024-12856 và khởi chạy một shell ngược để truy cập từ xa liên tục.

Nỗ lực khai thác bắt nguồn từ địa chỉ IP 178.215.238[.]91, trước đây đã được sử dụng để kết nối với các cuộc tấn công nhằm mục đích biến CVE-2019-12168 thành vũ khí, một lỗ hổng thực thi mã từ xa khác ảnh hưởng đến bộ định tuyến Four-Faith. Theo công ty tình báo về mối đe dọa GreyNoise, các nỗ lực khai thác CVE-2019-12168 đã được ghi nhận gần đây nhất là vào ngày 19 tháng 12 năm 2024.

"Cuộc tấn công có thể được thực hiện đối với, ít nhất, Four-Faith F3x24 và F3x36 qua HTTP bằng cách sử dụng điểm cuối /apply.cgi", Jacob Baines cho biết trong một báo cáo. "Các hệ thống dễ bị tiêm lệnh hệ điều hành vào tham số adj_time_year khi sửa đổi thời gian hệ thống của thiết bị thông qua submit_type=adjust_sys_time".

Dữ liệu từ Censys cho thấy có hơn 15.000 thiết bị kết nối internet. Có một số bằng chứng cho thấy các cuộc tấn công khai thác lỗ hổng này có thể đã diễn ra ít nhất là từ đầu tháng 11 năm 2024.

Baines nói với The Hacker News rằng "các cuộc tấn công này không lan rộng", đồng thời nói thêm "có một lượng nhỏ kẻ tấn công, nhưng chúng dường như đang gửi thư rác trên toàn bộ internet (với tỷ lệ rất thấp)". Các cuộc tấn công lên đến đỉnh điểm khi tải xuống một tải trọng giống như Mirai.

Hiện tại không có thông tin về tính khả dụng của các bản vá, mặc dù Chuyên gia bảo mật tuyên bố rằng họ đã báo cáo lỗ hổng này một cách có trách nhiệm cho công ty Trung Quốc vào ngày 20 tháng 12 năm 2024. The Hacker News đã liên hệ với Four-Faith để xin bình luận trước khi bài viết này được xuất bản và sẽ cập nhật bài viết nếu chúng tôi nhận được phản hồi.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 122
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 139
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 121
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 91
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 49
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 50
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button