Разработчики Zyxel выпустили патчи, исправляющие критическую уязвимость, которая представляет угрозу для более чем десяти моделей роутеров. Баг позволяет неаутентифицированным злоумышленникам удаленно выполнять команды на устройствах.
Уязвимость отслеживается под идентификатором CVE-2025-13942 и представляет собой инъекцию команд в функции UPnP роутеров Zyxel серий 4G LTE/5G NR CPE, DSL/Ethernet CPE, оптических терминалов (Fiber ONT) и беспроводных репитеров. Для эксплуатации проблемы атакующему не нужна аутентификация: чтобы выполнить произвольные команды на уровне ОС, достаточно отправить на уязвимое устройство специально подготовленные UPnP SOAP-запросы.
Подчеркивается, что для успешной эксплуатации этой уязвимости на устройстве должны быть одновременно включены UPnP и WAN-доступ, причем последний отключен по умолчанию.
Помимо этого, компания исправила еще две уязвимости — CVE-2025-13943 и CVE-2026-1459. Обе связаны с инъекцией команд после аутентификации и позволяют злоумышленникам выполнять команды, используя скомпрометированные учетные данные.
По данным платформы Shadowserver, в настоящее время в интернете можно найти около 120 000 устройств Zyxel, из которых более 76 000 — роутеры.
Отметим, что ранее в этом месяце представители Zyxel предупредили, что не планируют выпускать патчи для двух уязвимостей нулевого дня (CVE-2024-40890 и CVE-2024-40891). Эти проблемы активно используются в атаках, но затрагивают роутеры, срок поддержки которых уже истек (хотя некоторые уязвимые модели все еще продаются в онлайн-магазинах). Вместо патчей производитель настоятельно рекомендовал пользователям заменить старые устройства на новые модели с актуальными прошивками.