Zyxel выпустила предупреждение о критических уязвимостях в устройствах серии CPE, которые активно эксплуатируются хакерами. Компания заявила, что не планирует выпускать обновления безопасности и рекомендует пользователям заменить оборудование на новые модели.
Две уязвимости были обнаружены VulnCheck в июле 2024 года, однако массовые атаки зафиксированы только недавно . По данным GreyNoise, злоумышленники уже начали активно использовать эти проблемы в своих атаках. Анализ FOFA и Censys показывает, что более 1500 уязвимых устройств подключены к интернету, создавая значительную поверхность атаки.
- CVE-2024-40891 (оценка CVSS: 8.8) позволяет аутентифицированному пользователю выполнить инъекцию команд в Telnet из-за отсутствия должной проверки команд в библиотеке libcms_cli.so. Некоторые команды (например, ifconfig, ping, tftp) передаются без проверки в функцию выполнения оболочки, что позволяет выполнять произвольный код с использованием метасимволов оболочки.
- CVE-2025-0890 (оценка CVSS: 9.8) связана с использованием слабых учетных данных по умолчанию (например, admin:1234, zyuser:1234, supervisor:zyad1234), что предоставляет полный контроль над устройством. Учетная запись supervisor имеет скрытые привилегии, предоставляя полный доступ к системе, а zyuser может использовать CVE-2024-40891 для удаленного выполнения кода.
VulnCheck опубликовала доказательство концепции, демонстрируя эксплуатацию этих уязвимостей на модели VMG4325-B10A с устаревшей прошивкой. Несмотря на то, что устройства давно сняты с поддержки, они продолжают использоваться в корпоративных и домашних сетях.
В своем официальном заявлении Zyxel признала наличие уязвимостей в ряде моделей, включая VMG1312-B10A, VMG3312-B10A, VMG4380-B10A и другие. Однако компания подчеркнула, что все они являются устаревшими и уже давно не поддерживаются, поэтому пользователям рекомендуется приобрести современные альтернативы.
Помимо двух уязвимостей, обнаруженных VulnCheck, Zyxel также подтвердила наличие CVE-2024-40890 (оценка CVSS: 8.8)— еще одной проблемы, связанной с выполнением команд после аутентификации, похожую на CVE-2024-40891. Однако компания не планирует выпускать исправления.
Вскоре после публикации отчета Zyxel заявила, что пыталась получить подробную информацию от VulnCheck еще в июле, но исследователи так и не предоставили отчет. Тем не менее, уязвимости уже используются в атаках, и пользователи остаются без официальной защиты.