VulnCheck 發現了一個影響Four-Faith（四信）工業路由器的關鍵新漏洞，并有證據表明漏洞正在被廣泛利用。

據悉，該漏洞是一個操作系統 （OS） 命令注入錯誤，被追蹤為CVE-2024-12856，僅在遠程攻擊者能夠成功驗證身份時起作用。但是，如果與路由器關聯的默認憑證尚未更改，則可能導致未經身份驗證的操作系統命令執行。

在 VulnCheck 詳細描述的攻擊中，未知的攻擊者被發現利用路由器的默認憑據來觸發漏洞利用，并啟動反向 shell 以實現持久的遠程訪問。此次利用嘗試源自 IP 地址 178.215.238[.]91，該地址此前曾用于 CVE-2019-12168 漏洞攻擊，這是另一個影響Four-Faith 路由器的遠程代碼執行漏洞。根據威脅情報公司 GreyNoise 的數據，截至 2024 年12 月19 日，仍有利用 CVE-2019-12168 的攻擊記錄。

VulnCheck 研究員雅各布·貝恩斯（Jacob Baines）在一份報告中表示，攻擊至少可以使用 /apply.cgi 端點 ，通過 HTTP 針對Four-Faith F3x24 和F3x36 路由器。當通過 submit_type=adjust_sys_time 修改設備的系統時間時，系統容易受到 adj_time_year 參數中操作系統命令注入的影響。

成功利用此漏洞后，攻擊者可以在路由器上執行遠程代碼、安裝惡意軟件、竊取敏感數據、破壞網絡操作，并將路由器用作進一步攻擊的起點。

Censys 的數據顯示，目前有超過 1.5萬臺暴露于互聯網的四信路由器。有證據表明，利用該漏洞的攻擊可能至少從 2024 年11 月初就已經開始。

VulnCheck 表示已于 2024 年12 月20 日向廠商報告了漏洞情況，目前還暫無修復補丁發布。

路由器負責引導互聯網流量，在安全措施中經常被忽視，因此很容易成為網絡犯罪分子的目標。 最近，Censys 在 DrayTek Vigor 路由器中發現了 14 個關鍵漏洞，包括緩沖區溢出和操作系統命令注入漏洞。 現在，Four-Faith 路由器漏洞的發現進一步表明，需要改進安全措施來進一步保護路由器。