„Zyxel“ paskelbė patarimą dėl aktyviai išnaudojamų CPE serijos įrenginių trūkumų, įspėdamas, kad neketina išleisti pataisų taisymo ir raginant vartotojus pereiti prie aktyviai palaikomų modelių.
„Vulncheck“ atrado du trūkumus 2024 m. Liepos mėn., Tačiau praėjusią savaitę Greynoise pranešė, kad matė bandymus išnaudoti gamtoje.
Remiantis tinklo nuskaitymo varikliais „FOFA“ ir „Censys“, internetas yra veikiamas daugiau nei 1500 „Zyxel CPE“ serijos įrenginių, taigi atakos paviršius yra reikšmingas.
Šiandien naujame įraše „Vulncheck“ pateikė išsamią informaciją apie du trūkumus, kuriuos pastebėjo atakose, kuriomis siekiama įgyti pradinę prieigą prie tinklų:
- CVE-2024-40891 – Autentifikuoti vartotojai gali išnaudoti „Telnet“ komandos injekciją dėl netinkamo komandos patvirtinimo LIBCMS_CLI.SO. Tam tikros komandos (pvz., „Ifconfig“, „ping“, TFTP) perduodamos į apvalkalo vykdymo funkciją, leidžiančią atlikti savavališką kodo vykdymą naudojant „Shell Metacharacters“.
- CVE-2025-0890 – Įrenginiuose naudojami silpni numatytuosius kredencialus (administratorius: 1234, Zyuser: 1234, vadovas: Zyad1234), kurio daugelis vartotojų nesikeičia. Prižiūrėtojo paskyroje yra paslėptos privilegijos, suteikianti visą prieigą prie sistemos, o „Zyuser“ gali išnaudoti CVE-2024-40891 nuotolinio kodo vykdymui.
Šaltinis: „VulnCheck“
„VulnCheck“ atskleidė išsamią išnaudojimo informaciją, parodydamas savo POC prieš VMG4325-B10A veikiančią programinės aparatinės įrangos 1.00 versiją (AAFR.4) C0_20170615.
Šaltinis: „VulnCheck“
Tyrėjai perspėjo, kad nepaisant šių prietaisų nebebuvo palaikoma daugelį metų, jie vis dar randami tinkluose visame pasaulyje.
„Nors šios sistemos yra vyresnės ir, atrodo, ilgai nepalaikomos, jos išlieka labai aktualios dėl jų nuolatinio naudojimo visame pasaulyje ir nuolatinį užpuolikų susidomėjimą“, – perspėjo „Vulncheck“.
„Tai, kad užpuolikai vis dar aktyviai naudojasi šiais maršrutizatoriais, pabrėžia dėmesio poreikį, nes norint suprasti realaus pasaulio išpuolius yra labai svarbu veiksmingiems saugumo tyrimams.”
„Zyxel“ siūlo pakeisti
Naujausias „Zyxel“ patarimas patvirtina, kad „Vulncheck“ atskleisti pažeidžiamumai šiandien daro įtaką kelių gyvenimo pabaigos (EOL) produktams.
Pardavėjas teigia, kad paveikti įtaisai pasiekė EOL prieš keletą metų, o tai rodo, kad jie pakeis naujesnę kartos įrangą.
„We have confirmed that the affected models reported by VulnCheck, VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924- „B10A“, „SBG3300“ ir „SBG3500“ yra seni produktai, kurie daugelį metų pasiekė gyvenimo pabaigos (EOL) “,-rašoma„ Zyxel “patarimas.
„Todėl mes labai rekomenduojame vartotojams pakeisti juos naujesnės kartos produktais, kad būtų galima optimaliai apsaugoti.”
„Zyxel“ taip pat apima trečiąjį patarimo trūkumą, CVE-2024-40890Komandos injekcijos po autentifikavimo problema, panaši į CVE-2024-40891.
Įdomu tai, kad „Zyxel“ teigia, kad nors jis paprašė „Vulncheck“ pasidalyti išsamia ataskaita nuo praėjusių metų liepos mėn., Jie niekada to nepadarė. Vietoj to, jie tariamai paskelbė savo rašymą, jų nepranešę.
