VulnCheckは12月26日(米国時間)、「Four-Faith Industrial Router CVE-2024-12856 Exploited in the Wild - Blog - VulnCheck」において、Four-Faith製産業用ルーターに影響を与える深刻な脆弱性「CVE-2024-12856」が悪用されていると伝えた。

この脆弱性は認証後にリモートコマンドインジェクションを可能にするもので、攻撃者はデフォルトの認証情報を悪用して不正侵入を行う可能性がある。

  • Four-Faith Industrial Router CVE-2024-12856 Exploited in the Wild - Blog - VulnCheck

    Four-Faith Industrial Router CVE-2024-12856 Exploited in the Wild - Blog - VulnCheck

脆弱性の情報と影響範囲

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-12856 - OSコマンドインジェクションの脆弱性。リモートの攻撃者がHTTP経由で任意のOSコマンドを実行できる可能性がある(CVSSスコア:7.2)

影響を受けるデバイスにはFour-Faith製のF3x24およびF3x36モデルが該当し、HTTP経由で「/apply.cgi」エンドポイントを使用した攻撃が可能とされている。Censysの調査によりインターネット上で約15,000台の脆弱なデバイスが特定されており、これらのデバイスでは「adj_time_year」パラメーターにOSコマンドインジェクションの脆弱性があることが確認されている。

VulnCheckはPOSTリクエスト例を提示しており、リバースシェルの悪用が可能であることも証明している。このリクエストが成功するとデバイス内にリバースシェルが作成され、攻撃者がシステムに不正アクセスする危険性がある。

対策

VulnCheckは攻撃元IPアドレスとして「178.215.238[.]91」を特定し、このIPアドレスが本脆弱性を活用して悪用を試みていることを報告している。また、このIPアドレスからの攻撃を検知および防御できるよう、Suricataルールを公開している。

この問題は2024年12月20日にFour-Faithに報告されており、ユーザーに対し、影響範囲を確認することが求められている。この脆弱性に対するパッチはまだ提供されておらず、影響を受けるモデルやファームウェアバージョンに関する詳細についてはFour-Faithに直接問い合わせることが推奨される。