Aktívne zneužívané zero-day zraniteľnosti v Zyxel zariadeniach série CPE

Bezpečnostní výskumníci z Greynoise a Vulncheck varujú pred aktívnym zneužívaním kritických zero-day zraniteľností v zariadeniach Zyxel CPE. CVE-2024-40891 a  CVE-2024-40891 možno zneužiť na vzdialené vykonanie príkazov a získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• Zariadenia Zyxel série CPE (Customer Premises Equipment): VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300, SBG3500

Opis zraniteľnosti:

CVE-2024-40890, CVE-2024-40891 (CVSS skóre 8,8)

Bližšie nešpecifikované zraniteľnosti by vzdialený autentifikovaný útočník mohol zneužiť na injekciu príkazov prostredníctvom servisných účtov „supervisor“ alebo „zyuser“ a získanie úplnej kontroly nad systémom. Zatiaľ čo zraniteľnosť CVE-2024-40891 je možné zneužiť prostredníctvom protokolu Telnet, CVE-2024-40890 možno zneužiť zaslaním špeciálne vytvorených http POST požiadaviek.

Zraniteľnosti odhalila spoločnosť VulnCheck ešte v júli 2024, ale na základe dostupných informácií stále neboli opravené.

Zraniteľnosť CVE-2024-40891 v súčasnosti aktívne zneužívajú rôzne varianty botnetov založených na báze Mirai.

Možné škody:

• Vzdialené vykonanie príkazov
• Získanie úplnej kontroly nad systémom

Odporúčania:

Uvedené zraniteľnosti spoločnosť Zyxel neopraví, pretože zasiahnuté zariadenia dosiahli tatus end-of-life. Odporúčame preto vymeniť zraniteľné zariadenie za podporované. V prípade, že to nie je možné, odporúčame limitovať prístup k administratívnym rozhraniam zariadení a vykonávať zvýšený monitoring HTTP a TELNET komunikácie.

Zdroje:

• https://vulncheck.com/blog/initial-access-intelligence-july-2024
• https://www.greynoise.io/blog/active-exploitation-of-zero-day-zyxel-cpe-vulnerability-cve-2024-40891
• https://thehackernews.com/2025/01/zyxel-cpe-devices-face-active.html