由于默认凭证，15,000 多个 Four-Faith 路由器面临新漏洞

根据 VulnCheck 的最新发现，影响部分 Four-Faith 路由器的高严重性漏洞已在野外遭到积极利用。

该漏洞的编号为CVE-2024-12856（CVSS 评分：7.2），被描述为影响路由器型号 F3x24 和 F3x36 的操作系统 (OS) 命令注入漏洞。

由于该漏洞仅当远程攻击者能够成功验证身份时才会起作用，因此其严重性较低。但是，如果与路由器关联的默认凭据未更改，则可能导致未经验证的操作系统命令执行。

在 VulnCheck 详述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发 CVE-2024-12856 的利用并启动反向 shell 以实现持久远程访问。

此次攻击尝试源自 IP 地址178.215.238[.]91，该地址之前曾用于试图利用CVE-2019-12168进行攻击，这是影响 Four-Faith 路由器的另一个远程代码执行漏洞。据威胁情报公司 GreyNoise 称，最近一次利用 CVE-2019-12168 的尝试是在 2024 年 12 月 19 日。

Jacob Baines 在一份报告中表示： “至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。通过submit_type=adjust_sys_time 修改设备的系统时间时，系统容易受到 adj_time_year 参数中的操作系统命令注入攻击。”

Censys 的数据显示，有超过 15,000 台面向互联网的设备。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。

目前尚无关于补丁可用性的信息，但 VulnCheck 表示已于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。Hacker News 在本文发布之前已联系 Four-Faith 征求意见，如果收到回复，我们将更新本文。