Хакер #309. Самооборона по-хакерски
Компания Zyxel опубликовала предупреждение о наличии активно эксплуатируемых уязвимостей в устройствах серии CPE. При этом производитель заявил, что не планирует выпускать патчи и призвал пользователей переходить на поддерживаемые модели устройств.
Уязвимости, о которых идет речь, были обнаружены специалистами VulnCheck еще в июле 2024 года, а совсем недавно компания GreyNoise сообщала о том, что их уже взяли на вооружение хакеры.
Исследователи подчеркивали, что уязвимые устройства встречаются в сетях по всему миру, хотя они уже много лет не поддерживаются. Согласно статистике Censys, в настоящее время в сети можно обнаружить более 1500 устройств уязвимых Zyxel CPE, которые в основном находятся на Филиппинах, в Турции, Великобритании, Франции и Италии.
На этой неделе эксперты VulnCheck обнародовали более подробную информацию об уязвимостях:
CVE-2024-40891 — некорректная проверка команд в libcms_cli.so может использоваться аутентифицированными пользователями для инъекций Telnet-команд. Некоторые команды (включая ifconfig, ping и tftp) без проверки передаются функции выполнения shell, что позволяет выполнить произвольный код с помощью метасимволов.
CVE-2025-0890 — устройства используют слабые учетные данные по умолчанию (admin:1234, zyuser:1234, supervisor:zyad1234), которые многие пользователи не меняют. Кроме того, учетная запись supervisor обладает скрытыми привилегиями, предоставляя полный доступ к системе, а zyuser может эксплуатировать CVE-2024-40891 для удаленного выполнения кода.
К своему отчету исследователи приложили PoC-эксплоит, демонстрирующий атаку на примере VMG4325-B10A с прошивкой версии 1.00(AAFR.4)C0_20170615.
Представители Zyxel подтвердили опубликованную специалистами информацию о том, что уязвимости затрагивают несколько продуктов с истекшим сроком поддержки. Владельцам таких устройств предлагается заменить их на оборудование более нового поколения.
«Мы подтвердили, что уязвимые модели, о которых сообщает VulnCheck (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500), являются устаревшими, и их срок службы уже давно истек, — говорится в сообщении Zyxel. — Поэтому мы настоятельно рекомендуем пользователям заменить их на продукты нового поколения для обеспечения наилучшей защиты».
При этом представители Zyxel отметили, что просили VulnCheck предоставить подробную информацию о проблемах с июля 2024 года, однако исследователи так и не сделали этого. Вместо этого они якобы публично раскрыли уязвимости, не поставив компанию в известность.
