Zyxel отказалась исправлять уязвимости в 1500 старых маршрутизаторах

Zyxel выпустила рекомендацию по безопасности, которая описывает активно эксплуатируемые уязвимости в маршрутизаторах CPE. Компания предупредила, что не планирует выпускать исправления, и призвала пользователей перейти на более новые модели.

Впервые о двух уязвимостях в июле 2024 года сообщили исследователи VulnCheck. На прошлой неделе их коллеги из GreyNoise заявили, что видели попытки их эксплуатации.

В обновлении VulnCheck представила полную информацию об уязвимостях, атаки с использованием которых направлены на получение доступа к сетям:

CVE-2024-40891 — аутентифицированные пользователи могут использовать инъекцию команд Telnet из-за неправильной проверки команд в libcms_cli.so. Некоторые (например, ifconfig, ping, tftp) передаются без проверки в функцию выполнения оболочки, что позволяет выполнять произвольный код с использованием метасимволов оболочки;

CVE-2025-0890 — устройства используют слабые учётные данные по умолчанию (admin:1234, zyuser:1234, supervisor:zyad1234), которые многие пользователи не меняют. Учётная запись supervisor имеет скрытые привилегии, предоставляя полный доступ к системе, в то время как zyuser может использовать CVE-2024-40891 для удалённого выполнения кода. 

В VulnCheck также продемонстрировали эксплойт атаки на маршрутизатор VMG4325-B10A с версией прошивки 1.00(AAFR.4)C0_20170615. 

«Хотя эти системы устарели и, по-видимому, давно не поддерживаются, они остаются весьма актуальными и используются по всему миру», — пояснили исследователи. Согласно подсчётам, уязвимости затрагивают более 1500 моделей Zyxel.

В Zyxel подтвердили эту информацию и отметили, что «модели VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A,