産業用エッジデバイスは、加速するペースでハッカーが制御するボットネットに吸収されています。この脆弱性はCVE-2024-9643として追跡され、Four-Faith F3x36産業用ルーターの重大な認証バイパス脆弱性です。
この脆弱性は2026年5月12日の時点で大規模悪用段階に突入し、5月18日までに139の攻撃IPが観測されました。
CVE-2024-9643は、Four-Faith F3x36のファームウェアv2.0.0がハードコードされた管理者認証情報をそのWeb管理インターフェースに埋め込んだ状態で配布されているために存在します。
この脆弱性はCWE-489(アクティブなデバッグコード)およびCWE-798(ハードコードされた認証情報の使用)に分類されます。
これらの認証情報を知っている攻撃者は、/Status_Router.aspなどのエンドポイントをターゲットにするHTTPリクエストを作成して、認証チャレンジなしに完全な管理者アクセス権を取得できます。
この脆弱性はCVE-2023-32645(同じ製品ラインで文書化された以前の脆弱性)と比較でき、メーカーの継続的な開発上の監視不備を示唆しています。
公開されたNucleiテンプレートはすでに流通しており、自動化された大規模スキャンへの敷居を大幅に低下させています。
より最近では、FortiGuard LabsがRondoDoxボットネットを特定しました。これはCVE-2024-12856とTBK DVRの脆弱性を悪用し、ゲームとVPNトラフィックを模倣するカスタムライブラリを使用して検出を回避しています。CVE-2024-9643は現在、同じデバイス上に2番目の高信頼度の攻撃表面を追加しています。
30日以内に初期検出から大規模悪用への拡大は、攻撃者がこの脆弱性を大規模に活用しており、単なる機会的なプローブではないことを示しています。
商業組織は影響を受けた環境の最大シェアを占めており、攻撃者がボットネットに組み込み、トラフィックをプロキシしたり、より深い侵入の足がかりとして使用できる耐久性のある低プロファイルなエッジデバイスを求めているのと一致しています。
攻撃源は英国、ドイツ、米国、オランダに及んでおり、この地理的分布は標的化された侵入セットではなく、自動化されたキャンペーンと一致しています。
Censys上で15,000以上のインターネット向けFour-Faithデバイスが特定されており、潜在的な攻撃表面が依然として膨大であることを示しています。
翻訳元: https://cyberpress.org/hijack-four-faith-routers/
