【安全资讯】黑客利用Four-Faith路由器漏洞开启反向Shell

概要：

近期，黑客利用Four-Faith路由器中的一项后认证远程命令注入漏洞（CVE-2024-12856），成功开启反向Shell，导致设备被攻击者完全控制。此事件引发了对网络安全的广泛关注，尤其是在能源、交通和制造等关键行业。

主要内容：

Four-Faith路由器的CVE-2024-12856漏洞允许攻击者通过发送特制的HTTP POST请求，利用'/apply.cgi'端点的'adj_time_year'参数进行命令注入。该参数原本用于调整系统时间，但黑客能够操控它来执行Shell命令。VulnCheck在2024年12月20日发现此恶意活动，并已通知Four-Faith及其客户，但目前尚不清楚是否已有安全更新可用。

该漏洞影响的路由器型号主要包括F3x24和F3x36，广泛应用于能源、交通、通信和制造行业。由于许多设备使用默认凭证，黑客可以轻易地通过暴力破解获取访问权限。攻击者在成功入侵后，可能会修改设备的配置文件以保持持久性，并在网络中寻找其他可攻击的设备。

VulnCheck还警告称，目前的攻击手法与针对CVE-2019-12168的攻击类似，后者同样通过apply.cgi端点进行代码注入。为防止此类攻击，用户应确保其设备运行最新的固件版本，并将默认凭证更改为强密码。此外，VulnCheck提供了检测CVE-2024-12856利用尝试的Suricata规则，以帮助用户及时阻止攻击。