Four-Faith 路由器pre-auth 命令注入漏洞（CVE-2024-12856）

锋刃科技 2024-12-30 16:15

Four-Faith 路由器是一款专为工业通信设计的 IoT 设备，广泛用于远程数据采集和工业控制网络中，提供高效的无线连接解决方案。

01 漏洞描述

漏洞类型：
Four-Faith 路由器pre-auth 命令注入漏洞（CVE-2024-12856）

简述：
CVE-2024-12856 是一种操作系统 (OS) 命令注入漏洞，影响 Four-Faith 路由器型号 F3x24 和 F3x36。此漏洞允许远程攻击者通过 /apply.cgi 接口的 adj_time_year 参数，在修改设备系统时间（submit_type=adjust_sys_time）时注入恶意命令。

尽管该漏洞要求攻击者先进行身份认证，但如果受影响设备仍使用默认凭据，攻击者可轻松实现未经授权的 OS 命令执行。当前已观察到的攻击活动中，威胁行为者利用默认凭据成功触发漏洞，甚至启动反向 Shell 实现持久远程访问。

02漏洞影响范围

受影响型号:

Four-Faith F3x24

Four-Faith F3x36

03漏洞修复方案

· 所有 Four-Faith 路由器用户应立即更改默认用户名和密码，以防止未经授权的访问。

· 配置路由器防火墙或网络规则，仅允许可信 IP 地址访问管理接口。

· 检查路由器日志中是否存在可疑访问或命令注入尝试，尤其是 /apply.cgi 接口相关的请求。

· 联系厂商处理

04 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2024-12856

END