Hacker Sfruttano la Vulnerabilità in 15,000 Router Industriali in Tutto il Mondo

I hacker stanno prendendo di mira una grave falla di sicurezza nei router industriali Four-Faith prodotti in Cina.

Il problema, identificato come CVE-2024-12856, riguarda i modelli F3x24 e F3x36. Consente agli attaccanti di prendere il controllo dei router a distanza sfruttando le loro credenziali di accesso predefinite, mettendo a rischio migliaia di dispositivi. I ricercatori di sicurezza di VulnCheck hanno segnalato il problema.

Il Chief Technology Officer di VulnCheck, Jacob Baines, ha segnalato che il suo team ha rilevato lo stesso user agent menzionato in un blog di novembre di DucklingStudio, che ha tentato di sfruttare la vulnerabilità per distribuire un diverso payload di malware. Baines ha anche condiviso un video in cui dimostra come può essere sfruttata la falla.

Gov Security Info spiega che i router Four-Faith sono comunemente utilizzati in settori che richiedono monitoraggio e controllo remoto. Tra i clienti tipici troviamo fabbriche, impianti di produzione, sistemi di automazione industriale, reti di energia, strutture di energia rinnovabile, utilità idriche e aziende di trasporto.

Questi router supportano la trasmissione di dati in tempo reale per attività come la gestione di flotte e il tracciamento dei veicoli. I ricercatori stimano che circa 15.000 dispositivi accessibili online siano vulnerabili all’attacco, in base a un rapporto di Censys.

L’exploit permette agli aggressori di eseguire una shell inversa, dando loro il controllo non autorizzato dei router. In un attacco shell inversa, gli aggressori sfruttano le vulnerabilità, collegando le macchine vittima al loro server, consentendo controllo remoto, furto di dati, distribuzione di malware e accesso a reti sicure attraverso istruzioni da riga di comando, come sottolineato da CheckPoint.

Cyberscoop riferisce che la vulnerabilità potrebbe essere legata a una variante di Mirai, il noto malware e botnet che prende di mira i dispositivi Internet delle Cose (IoT). Mirai, rilevato per la prima volta nel 2016 e originariamente sviluppato da adolescenti per creare botnet, rimane una minaccia dominante per i dispositivi IoT a livello globale.

I dati di Zscaler mostrano che Mirai è stato responsabile di oltre un terzo degli attacchi malware a dispositivi IoT tra giugno 2023 e maggio 2024, superando di gran lunga le altre famiglie di malware. Inoltre, durante questo periodo, più del 75% delle transazioni IoT bloccate erano associate al codice maligno di Mirai, come riportato da Cyberscoop.

Secondo Gov Security Info, Four-Faith è stata informata della vulnerabilità il 20 dicembre, secondo la politica di divulgazione responsabile di VulnCheck. Attualmente non sono disponibili dettagli su patch o aggiornamenti del firmware.

Gli ricercatori raccomandano che gli utenti dei modelli di router interessati cambino le credenziali predefinite, limitino l’esposizione della rete e monitorino attentamente l’attività del dispositivo.