Cyberkriminelle missbrauchen Router von Four-Faith Industries für Botnet-Aktivitäten

Die Ursache der Schwachstelle liegen in fest codierten Administratorkredenzialen, die in der Web-Management-Oberfläche des Geräts eingebettet sind.

Angreifer können diese Zugangsdaten nutzen, um speziell gestaltete HTTP-Anfragen Endpunkte wie /Status_Router.asp zu senden und so uneingeschränkten Administrationszugriff zu erlangen, ohne eine ordnungsgemäße Authentifizierung durchzuführen.

Mit einem CVSS-Score von 9,8 ermöglicht die Schwachstelle Angreifern Folgendes: Umgehen Administrationsrechten, Modifikation, Extraktion sensibler Betriebsdaten sowie Einrichtung einer dauerhaften Kontrolle über das Gerät.

Sicherheitslage und Risiko

Öffentlich verfügbare Exploit-Vorlagen, darunter ein Nuclei-Erkennungsskript, haben automatisiertes Scannen und Ausnutzung weiter vereinfacht. Vier-Glaube-Router werden wurde am 4. Februar 2025 offengelegt, doch die Ausnutzung in der Wildnis begann am 20. April 2026. Laut CrowdSec-Telemetrie waren bis zum 18.

Mai mindestens 139 eindeutige IP-Adressen an den Angriffen beteiligt. Aufgrund des raschen Anstiegs der Aktivität wurde das Problem am 12. Mai 2026 in die Phase „Massenausnutzung" überführt.

Das primäre Ziel, das in 76 % der Angriffe beobachtet wurde, ist die Übernahme sind, werden sie Botnetze integriert, wodurch Bedrohungsakteure Folgendes ermöglichen: Durchführung (DDoS)-Angriffen, Weiterleitung von bösartigem Verkehr, um die Herkunft des Angreifers zu verschleiern, sowie Nutzung der kompromittierten Geräte als Sprungbrett für laterale Bewegungen.

Sicherheitslage und Risiko

Die Kampagne ist weltweit verteilt, wobei Angriffserkennungen aus dem Vereinigten Königreich, Deutschland, den Vereinigten Staaten und den Niederlanden stammen und auf automatisierte, großangelegte Scanning-Operationen hinweisen.

Four-Faith F3 ×36-Router sind in industriellen und abgelegenen Umgebungen, einschließlich Lagerhallen, Einzelhandelsstandorten, Versorgungsunternehmen und Niederlassungen, weit verbreitet. Diese Geräte operieren häufig Netzwerkrand und werden selten aktualisiert oder engmaschig überwacht, was sie zu idealen Zielen macht.

Ein kompromittierter Router bietet nicht nur einen persistenten Zugriff, sondern ermöglicht Angreifern zudem die Abfangung in interne Netzwerke.

Sicherheitslage und Risiko

In vielen Fällen werden diese Geräte aufgrund mangelnder Sichtbarkeit und unzureichender Patch-Praktiken zu langfristigen Bestandteilen Organisationen, die Four-Faith-Router einsetzen, sollten unverzüglich Maßnahmen ergreifen: Firmware-Updates vom Hersteller oder Lieferanten ohne Verzögerung anwenden und den Zugriff auf die Router-Verwaltungsschnittstellen durch Firewalls oder VPNs einschränken.

Überwachen Sie den Netzwerkverkehr auf ungewöhnliche Ausgehverbindungen oder Scanning-Aktivitäten. Setzen Sie Bedrohungserkennungstools wie CrowdSec ein, Ausnutzungsvorhaben zu identifizieren. Blockieren Sie bekannte bösartige IP-Adressen mithilfe, beispielsweise der CrowdSec CTI-Blocklisten.

Sicherheitsforscher, darunter Cisco Talos und VulnCheck, haben zuvor die Risiken, die durch fest codierte Zugangsdaten Netzwerkgeräten entstehen, hervorgehoben und dabei die Bedeutung sicherer Konfigurationspraktiken betont.

Angreifer weiterhin exponierte Edge-Geräte als Waffe einsetzen, bleiben unpatchte Industriarouter ein hochriskanter Einstiegspunkt für die Ausweitung. Abi ist Sicherheitsredakteurin und weitere Reporterin bei