Hakerzy Wykorzystują Podatność w 15 000 Przemysłowych Routerach na Całym Świecie

Hakerzy wykorzystują poważną lukę bezpieczeństwa w przemysłowych routerach Four-Faith, produkowanych w Chinach.

Problem, zidentyfikowany jako CVE-2024-12856, dotyczy modeli F3x24 i F3x36. Umożliwia on atakującym zdalne przejęcie kontroli nad routerami poprzez wykorzystanie ich domyślnych danych logowania, narażając tysiące urządzeń na ryzyko. Badacze z dziedziny bezpieczeństwa z VulnCheck zgłosili ten problem.

Główny Dyrektor Technologiczny VulnCheck, Jacob Baines, zgłosił, że jego zespół wykrył ten sam agenta użytkownika, o którym wspomniano w listopadowym wpisie na blogu DucklingStudio, który próbował wykorzystać tę podatność, aby zainstalować inną szkodliwą zawartość. Baines podzielił się również filmem, na którym demonstruje, jak można wykorzystać tę wadę.

Gov Security Info wyjaśnia, że routery Four-Faith są powszechnie używane w przemyśle wymagającym zdalnego monitoringu i kontroli. Typowi klienci to fabryki, zakłady produkcyjne, systemy automatyki przemysłowej, sieci energetyczne, obiekty energii odnawialnej, komunalne sieci wodne oraz firmy transportowe.

Te routery obsługują transmisję danych w czasie rzeczywistym dla zadań takich jak zarządzanie flotą czy śledzenie pojazdów. Badacze szacują, że około 15 000 urządzeń dostępnych online jest podatnych na atak, na podstawie raportu Censys.

Eksploatacja umożliwia atakującym wykonanie odwrotnej powłoki, dając im nieautoryzowany kontrol nad routerami. W ataku odwrotnej powłoki, napastnicy wykorzystują podatności, łącząc maszyny ofiar ze swoim serwerem, umożliwiając zdalne sterowanie, kradzież danych, wdrożenie złośliwego oprogramowania oraz dostęp do bezpiecznych sieci za pomocą instrukcji wprowadzanych z linii poleceń, jak to zauważyło CheckPoint.

Cyberscoop donosi, że podatność może być powiązana z odmianą Mirai, notorycznym złośliwym oprogramowaniem i botnetem atakującym urządzenia Internetu Rzeczy (IoT). Mirai, po raz pierwszy wykryte w 2016 roku i pierwotnie opracowane przez nastolatków w celu tworzenia botnetów, pozostaje dominującym zagrożeniem dla urządzeń IoT na całym świecie.

Dane od Zscalera pokazują, że Mirai odpowiadał za ponad jedną trzecią ataków malware na IoT między czerwcem 2023 a majem 2024 roku, daleko przewyższając inne rodziny malware. Co więcej, ponad 75% zablokowanych transakcji IoT w tym okresie było związanych ze szkodliwym kodem Mirai, jak podaje Cyberscoop.

Zgodnie z informacjami Gov Security Info, firma Four-Faith została poinformowana o podatności 20 grudnia w ramach polityki odpowiedzialnego ujawniania VulnCheck. Szczegóły na temat łatek lub aktualizacji firmware są obecnie niedostępne.

Badacze zalecają użytkownikom dotkniętych modeli routerów zmianę domyślnych danych uwierzytelniających, ograniczenie ekspozycji sieciowej oraz ścisłe monitorowanie aktywności urządzenia.