Ботнеты вместо промышленной связи. К чему приведёт массовый взлом роутеров Four-Faith
NewsMakerВзломщики нашли способ захватывать промышленные сети через забытые маршрутизаторы.
Старые промышленные роутеры Four-Faith начали активно использовать для создания ботнетов . По данным CrowdSec, злоумышленники массово атакуют устройства серии F3x36 через критическую уязвимость CVE-2024-9643 (оценка по CVSS: 10), которая позволяет войти в панель управления без обычной проверки пароля.
Проблема связана с жёстко заданными учётными данными администратора в веб-интерфейсе роутеров. Зная эти данные, атакующий может отправить специальный HTTP-запрос к страницам управления, включая /Status_Router.asp, и получить права администратора.
После такого доступа злоумышленник может читать служебные данные, менять настройки устройства и закрепиться в системе. Для владельца сети взломанный роутер опасен не только сам по себе. Такое устройство стоит на пути сетевого трафика, может открыть доступ к внутренним ресурсам и стать частью инфраструктуры для новых атак.
Four-Faith F3x36 используют для связи удалённых площадок, промышленного оборудования, складов, магазинов, коммунальных объектов и небольших офисов. Такие устройства часто работают годами без внимания администраторов, поэтому становятся удобной целью для автоматических атак.
Уязвимость раскрыли 4 февраля 2025 года. CrowdSec выпустила правило обнаружения 15 апреля 2026 года, а первые атаки в реальных сетях зафиксировала 20 апреля. К 18 мая специалисты CrowdSec увидели 139 атакующих IP-адресов. 12 мая активность выросла настолько, что CVE-2024-9643 перевели в стадию массовой эксплуатации.
По телеметрии CrowdSec, в 76% случаев атакующие стремятся захватить сетевую инфраструктуру . Чаще всего под удар попадают коммерческие организации. Источники атак распределены по разным странам, среди заметных направлений указаны Великобритания, Германия, США и Нидерланды. Такой разброс больше похож на автоматизированные кампании, чем на точечные атаки против одной цели.
Риск повышают публичные материалы для проверки уязвимости, включая шаблон для nuclei . Такие инструменты снижают порог входа и позволяют быстро искать уязвимые устройства в интернете.
Администраторам Four-Faith F3x36 стоит как можно быстрее проверить, выпустил ли производитель или поставщик оборудования обновления. До установки исправлений панель управления лучше закрыть от доступа из интернета, ограничить вход только доверенными адресами и следить за подозрительными запросами к административному интерфейсу.
Старые промышленные роутеры Four-Faith начали активно использовать для создания ботнетов . По данным CrowdSec, злоумышленники массово атакуют устройства серии F3x36 через критическую уязвимость CVE-2024-9643 (оценка по CVSS: 10), которая позволяет войти в панель управления без обычной проверки пароля.
Проблема связана с жёстко заданными учётными данными администратора в веб-интерфейсе роутеров. Зная эти данные, атакующий может отправить специальный HTTP-запрос к страницам управления, включая /Status_Router.asp, и получить права администратора.
После такого доступа злоумышленник может читать служебные данные, менять настройки устройства и закрепиться в системе. Для владельца сети взломанный роутер опасен не только сам по себе. Такое устройство стоит на пути сетевого трафика, может открыть доступ к внутренним ресурсам и стать частью инфраструктуры для новых атак.
Four-Faith F3x36 используют для связи удалённых площадок, промышленного оборудования, складов, магазинов, коммунальных объектов и небольших офисов. Такие устройства часто работают годами без внимания администраторов, поэтому становятся удобной целью для автоматических атак.
Уязвимость раскрыли 4 февраля 2025 года. CrowdSec выпустила правило обнаружения 15 апреля 2026 года, а первые атаки в реальных сетях зафиксировала 20 апреля. К 18 мая специалисты CrowdSec увидели 139 атакующих IP-адресов. 12 мая активность выросла настолько, что CVE-2024-9643 перевели в стадию массовой эксплуатации.
По телеметрии CrowdSec, в 76% случаев атакующие стремятся захватить сетевую инфраструктуру . Чаще всего под удар попадают коммерческие организации. Источники атак распределены по разным странам, среди заметных направлений указаны Великобритания, Германия, США и Нидерланды. Такой разброс больше похож на автоматизированные кампании, чем на точечные атаки против одной цели.
Риск повышают публичные материалы для проверки уязвимости, включая шаблон для nuclei . Такие инструменты снижают порог входа и позволяют быстро искать уязвимые устройства в интернете.
Администраторам Four-Faith F3x36 стоит как можно быстрее проверить, выпустил ли производитель или поставщик оборудования обновления. До установки исправлений панель управления лучше закрыть от доступа из интернета, ограничить вход только доверенными адресами и следить за подозрительными запросами к административному интерфейсу.