Four-Faithのインダストリアルセルラールータが、CVE-2024-9643として追跡されている重大な認証バイパスの脆弱性を悪用するボットネットキャンペーンの標的として積極的に狙われています。
セキュリティ研究者は、攻撃者がこの脆弱性を迅速に兵器化し、公開されているデバイスを乗っ取り、大規模な悪質インフラの一部として転用していることを警告しています。
Four-Faithのインダストリアルルータが標的に
CVE-2024-9643はFour-Faith F3x36インダストリアルルータに影響を与え、重大度スコアCVSSは9.8です。この脆弱性は、デバイスのウェブインターフェースに組み込まれたハードコードされた管理認証情報に由来しています。
攻撃者は、「/Status_Router.asp」などの管理エンドポイントに特別に細工されたHTTPリクエストを送信することで、この脆弱性を悪用し、認証を完全に迂回できます。
一度アクセスが得られると、攻撃者は完全な管理者権限を獲得します。これにより、構成を変更したり、機密データを抽出したり、デバイスに対する永続的な制御を維持することができます。
悪用タイムライン
- 2025年2月4日: 脆弱性が公開される
- 2026年4月15日: CrowdSecが検出署名をリリース
- 2026年4月20日: 野外での最初の悪用試行が観察される
- 2026年5月12日: 「大規模な悪用」に分類される
- 2026年5月18日: 139個のユニークな攻撃IPが特定される
この急速なエスカレーションは、特に悪用が最小限の労力を必要とする場合に、脅威行為者が公開されている脆弱性をいかに素早く運用化するかを示しています。
CrowdSecのテレメトリによれば、攻撃者は主にインフラ乗っ取りに焦点を当てています。観察されたアクティビティの約76%がボットネット構築の目的と一致しています。侵害されたルータは、プロキシノード、コマンドリレー、または追加のネットワーク侵入の入口として使用されています。
小売、物流、公共事業などの分散インフラを持つ産業は特に危険です。これらのルータはしばしばリモートまたはほとんど監視されていない環境に配置されており、魅力的な標的となっています。
攻撃トラフィックは世界中で観察されており、以下の場所からの顕著な源があります:
- イギリス
- ドイツ
- 米国
- オランダ
この地理的な広がりは、標的型攻撃ではなく、自動化されたスキャンと悪用を示唆しています。
Four-Faith F3x36ルータは、リモートサイトおよびインダストリアルシステムを接続するために広く使用されています。ネットワークエッジに位置しているため、侵害されたデバイスは以下のことが可能です:
- トラフィックを傍受または操作する
- 内部システムを公開する
- 攻撃者の永続的な足がかりとして機能する
例えば、小売店舗のルータを制御する攻撃者は、トラフィックを静かにリダイレクトしたり、それを使用して他の組織に対する攻撃を検出されることなく開始したりできます。
対策と推奨事項
影響を受けるデバイスを使用している組織は、直ちに行動を起こすべきです:
- Four-Faithまたはベンダーから提供されたファームウェア更新を遅延なく適用する
- ルータ管理インターフェースへのアクセスを制限する、特にインターネットからのアクセス
- 異常なアクティビティまたは不正な構成変更のためにネットワークトラフィックを監視する
- 悪用試行を特定するためにCrowdSecなどの侵入検知ソリューションを展開する
- 脅威インテリジェンスフィードを使用して既知の悪質なIPをブロックする
Cisco TalosおよびVulnCheckのセキュリティ研究者も、公開されているスキャンテンプレートを含む技術分析と検出リソースを公開しており、攻撃者の障壁をさらに低下させています。
アクティブな悪用が進行中で自動化が増加している中、パッチが適用されていないルータはボットネット主導のサイバー攻撃の次の波の一部になるリスクがあります。
翻訳元: https://gbhackers.com/four-faith-industrial-routers-targeted-in-botnet-hijacking-campaign/
