Los Hackers Explotan Vulnerabilidad En 15,000 Routers Industriales a Nivel Mundial

Los hackers están apuntando a una grave falla de seguridad en los routers industriales Four-Faith fabricados en China.

El problema, identificado como CVE-2024-12856, afecta a los modelos F3x24 y F3x36. Permite a los atacantes tomar control de los routers de manera remota explotando sus credenciales de inicio de sesión por defecto, poniendo en riesgo miles de dispositivos. Los investigadores de seguridad en VulnCheck reportaron el problema.

El Director de Tecnología de VulnCheck, Jacob Baines, informó que su equipo detectó el mismo agente de usuario mencionado en un blog de noviembre por DucklingStudio, que intentó explotar la vulnerabilidad para desplegar una carga útil de malware diferente. Baines también compartió un video que demuestra cómo se puede explotar la falla.

Gov Security Info explica que los routers Four-Faith son comúnmente utilizados en industrias que requieren monitoreo y control remotos. Los clientes típicos incluyen fábricas, plantas de fabricación, sistemas de automatización industrial, redes eléctricas, instalaciones de energía renovable, servicios de agua y compañías de transporte.

Estos routers permiten la transmisión de datos en tiempo real para tareas como la gestión de flotas y el seguimiento de vehículos. Los investigadores estiman que alrededor de 15,000 dispositivos accesibles en línea son vulnerables al ataque, según un informe de Censys.

La explotación permite a los atacantes ejecutar una shell inversa, otorgándoles control no autorizado de los routers. En un ataque de shell inversa, los atacantes explotan vulnerabilidades, conectando las máquinas de las víctimas a su servidor, permitiendo el control remoto, el robo de datos, la implementación de malware y el acceso a redes seguras a través de instrucciones de línea de comandos, como señaló CheckPoint.

Cyberscoop informa que la vulnerabilidad puede estar vinculada a una variante de Mirai, el notorio malware y botnet que apunta a los dispositivos del Internet de las Cosas (IoT). Mirai, detectado por primera vez en 2016 y originalmente desarrollado por adolescentes para crear botnets, sigue siendo una amenaza dominante para los dispositivos IoT a nivel mundial.

Zscaler muestra que Mirai representó más de un tercio de los ataques de malware en IoT entre junio de 2023 y mayo de 2024, superando con creces a otras familias de malware. Además, más del 75% de las transacciones de IoT bloqueadas durante este período estuvieron asociadas con el código malicioso de Mirai, según lo informado por Cyberscoop.

Según Gov Security Info, Four-Faith fue informado de la vulnerabilidad el 20 de diciembre bajo la política de divulgación responsable de VulnCheck. Actualmente no hay detalles disponibles sobre parches o actualizaciones de firmware.

Las investigadoras recomiendan que los usuarios de los modelos de router afectados cambien las credenciales predeterminadas, restrinjan la exposición de la red y monitoreen de cerca la actividad del dispositivo.