A Zyxel biztonsági figyelmeztetést adott ki a CPE Series eszközöket érintő, aktívan kihasznált sérülékenységekről, jelezve, hogy a cég nem tervezi patchelni őket, ezen felül javasolja a felhasználóknak, hogy térjenek át az újabb, aktívan támogatott modellekre.
A VulnCheck kutatói már 2024 júliusában felfedezték a két szóban forgó sérülékenységet, azonban a múlt héten a GreyNoise jelentette, hogy már aktív kihasználási kísérleteket is észleltek. A FOFA és a Censys hálózati szkennelő motorok szerint több mint 1 500 Zyxel CPE Series eszköz van közvetlenül kitéve az internetnek, így a támadási felület igen jelentős.
A két sérülékenységről a VulnCheck részletesen beszámolt, mind a kettő hálózatokhoz való kezdeti hozzáférés megszerzésére irányul:
- CVE-2024-40891: Az autentikált felhasználók Telnet kódinjektálást hajthatnak végre a so modul nem megfelelő parancsellenőrzése miatt. Bizonyos parancsok (például ifconfig, ping, tftp) ellenőrzés nélkül kerülnek továbbításra egy shell execution függvényhez, ami tetszőleges kód futtatását teszi lehetővé metakarakterek segítségével.
- CVE-2025-0890: Az eszközök gyenge alapértelmezett hitelesítő adatokat használnak (például admin:1234, zyuser:1234, supervisor:zyad1234), amelyeket sok felhasználó nem változtat meg. A supervisor fiók rejtett jogosultságokkal rendelkezik, amelyek teljes rendszerhozzáférést biztosítanak, a zyuser fiók pedig kihasználhatja a CVE-2024-40891 sérülékenységet RCE céljából.
Az elemzés részletesen tartalmazta a sikeres kihasználáshoz szükséges összes információt, és ezen felül be is mutatott egy PoC támadást a VMG4325-B10A eszközön, amin a 1.00(AAFR.4)C0_20170615 verziójú firmware futott.
A Zyxel legújabb biztonsági figyelmeztetése megerősíti, hogy a VulnCheck által nyilvánosságra hozott sérülékenységek több end-of-life (EoL) állapotú terméket is érintenek. A gyártó azt is kijelentette, hogy az érintett eszközök már évekkel ezelőtt elérték az EoL státuszt, és így javasolt azok mihamarabbi lecserélése újabb generációs berendezésekre.
Az érintett eszközök listája a következő: VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 és SBG3500.
Ezen felül a Zyxel elismerte egy harmadik sérülékenység létezését is, ami a CVE-2024-40890 azonosítón nyomon követhető, a CVE-2024-40891-hez hasonló parancsinjektálási sérülékenység.
