四威工业路由器高危漏洞致僵尸网络激增

工业边缘设备正以惊人的速度被黑客控制的僵尸网络所吞噬。近期披露的CVE-2024-9643漏洞，涉及Four-Faith（四威科技）F3x36系列工业路由器中的关键认证绕过缺陷，标志着此类物联网设备已成为网络攻击的新重灾区。截至2026年5月18日，安全研究人员已观测到来自139个不同IP地址的攻击活动，且该漏洞已进入大规模利用阶段。

硬编码凭证引发连锁危机

CVE-2024-9643的根本原因在于Four-Faith F3x36路由器的v2.0.0版本固件中，Web管理界面嵌入了硬编码的管理员凭据。这一缺陷被归类为CWE-489（活动调试代码）和CWE-798（使用硬编码凭据）。攻击者只需掌握这些默认凭据，即可构造针对/Status_Router.asp等端点的HTTP请求，从而在不经过任何身份验证挑战的情况下获取完全的管理员权限。

值得注意的是，该漏洞与此前记录在同一产品系列中的CVE-2023-32645高度相似，这暗示了制造商在开发过程中存在持续性的监管疏忽。目前，一个公开的Nuclei模板已在网络上流传，极大地降低了自动化大规模扫描的技术门槛，使得非专业黑客也能轻易发起攻击。

僵尸网络规模化运作

这并非Four-Faith设备首次被武器化。早在2024年底，一种名为Mirai的僵尸网络变种便利用F3x24和F3x36路由器中的另一个零日漏洞CVE-2024-12856，维持着约1.5万个每日活跃感染IP，并发起超过100 Gbps的DDoS攻击。近期，FortiGuard Labs还发现了RondoDox僵尸网络，它结合利用CVE-2024-12856及TBK DVR设备的缺陷，通过自定义库模拟游戏和VPN流量以逃避检测。如今，CVE-2024-9643的曝光为同一设备增加了第二个高置信度的攻击面。

从时间线来看，局势演变令人担忧：2025年2月4日漏洞公开披露，4月15日CrowdSec发布专用检测规则，4月20日首次观测到野外利用，而到了5月12日，CrowdSec便将活动重新分类为“大规模利用”。短短不到30天内，攻击者便实现了从试探性探测到规模化运营的转变。CrowdSec遥测数据显示，76%的观测攻击目标与基础设施接管有关。

受影响的商业组织占比Zui大，这与攻击者寻求持久、低调的边缘设备以融入僵尸网络、代理流量或作为深入入侵立足点的策略一致。攻击源遍布英国、德国、美国和荷兰，这种地理分布符合自动化战役的特征，而非针对特定目标的入侵小组。据Censys数据显示，互联网上面向公众的Four-Faith设备超过1.5万台，潜在攻击面依然巨大。

紧急缓解措施

鉴于CVSS评分高达9.8且公开可利用的工具层出不穷，任何延迟都是不可接受的。安全专家建议立即应用固件更新，并将管理接口从公共互联网暴露中移除，置于VPN或防火墙访问控制列表之后。同时，应部署CrowdSec安全引擎以检测针对暴露服务和管理界面的利用尝试，并审计相关漏洞CVE-2024-12856（CVSS 7.2）和CVE-2024-9644，它们同样影响F3x36固件且已被僵尸网络武器化。

此次事件再次敲响了工业物联网安全的警钟。对于中国制造业而言，随着“中国制造”向高端装备和工业互联延伸，硬件产品的安全性不应仅停留在功能层面，更需将安全设计融入研发全生命周期。国内企业在出海过程中，应建立严格的代码审计机制，杜绝硬编码凭据等低级错误，并具备快速响应漏洞的能力，以维护品牌信誉和市场竞争力。