VulnCheck发现Four-Faith路由器存在高危漏洞CVE-2024-12856，该漏洞为操作系统命令注入漏洞，影响F3x24和F3x36型号。尽管漏洞利用需身份验证，但若使用默认凭据则易受攻击。攻击者利用默认凭据触发漏洞，启动反向shell进行远程访问。攻击源自IP地址178.215.238[.]91，该地址曾用于其他针对Four-Faith路由器的攻击。该漏洞利用至少从2024年11月初开始，影响超过15000台互联网设备。尽管VulnCheck已报告该漏洞，但目前尚未有补丁信息。

⚠️ CVE-2024-12856是一个操作系统命令注入漏洞，存在于Four-Faith路由器的F3x24和F3x36型号中，攻击者可利用该漏洞执行恶意命令。

🔑 该漏洞的利用需要身份验证，但如果路由器使用默认凭据，攻击者无需验证即可执行命令，这使得未授权访问和远程控制成为可能。

🔄 攻击者通过修改系统时间参数（adj_time_year）来注入操作系统命令，并启动反向shell，以实现对路由器的持续远程访问。

🌐 Censys的数据显示，超过15000台面向互联网的Four-Faith设备可能受到该漏洞影响，攻击活动可能早在2024年11月初就开始出现。

根据 VulnCheck 的最新发现，一个影响特定 Four-Faith 路由器的高严重性漏洞已在野外被积极利用。该漏洞被追踪为 CVE-2024-12856（CVSS 得分：7.2），被描述为操作系统（OS）命令注入漏洞，影响路由器型号 F3x24 和 F3x36。该漏洞的严重性较低，因为它只有在远程攻击者能够成功验证自己身份的情况下才会起作用。但是，如果与路由器相关的默认凭据没有更改，就可能导致未经验证的操作系统命令执行。在 VulnCheck 详细描述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发对 CVE-2024-12856 的利用，并启动反向外壳进行持续远程访问。利用尝试源自 IP 地址 178.215.238[.]91，该 IP 地址以前曾被用于与寻求将 CVE-2019-12168 武器化的攻击有关的攻击，CVE-2019-12168 是另一个影响 Four-Faith 路由器的远程代码执行缺陷。根据威胁情报公司 GreyNoise 的记录，利用 CVE-2019-12168 的攻击活动最近发生在 2024 年 12 月 19 日。Jacob Baines 在一份报告中说：“至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。在通过 submit_type=adjust_sys_time 修改设备的系统时间时，这些系统容易受到 adj_time_year 参数中操作系统命令注入的攻击。”Censys 的数据显示，有超过 15000 台面向互联网的设备。一些证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。尽管 VulnCheck 表示它已于 2024 年 12 月 20 日向中国公司负责任地报告了该漏洞，但目前还没有关于补丁可用性的信息。《黑客新闻》在发表本篇报道之前已经联系了四维图新公司，要求其发表评论，如果有回复，我们将及时更新。