[SA] Съобщения за сигурност - Съобщение за сигурност на Zyxel за уязвимости, свързани с инжектиране на команди и несигурни данни по подразбиране, в някои наследени DSL CPE

Създаден - Обновено
Serhii Boiarynov
Print Friendly and PDF
Имате още въпроси? Подаване на заявка

Важно известие:
Уважаеми клиенти, моля, имайте предвид, че използваме машинен превод, за да предоставяме статии на вашия местен език. Възможно е не всички текстове да бъдат преведени точно. Ако има въпроси или несъответствия относно точността на информацията в преведената версия, моля, прегледайте оригиналната статия тук: Оригинална версия

Съобщение за сигурност на Zyxel за уязвимости, свързани с инжектиране на команди и несигурни данни по подразбиране, в някои наследени DSL CPE

CVE: CVE-2024-40890, CVE-2024-40891, CVE-2025-0890

Резюме

Zyxel наскоро CVE-2024-40890 и CVE-2024-40891 се споменават в публикация в блога на GreyNoise. Освен това от VulnCheck ни информираха, че ще публикуват техническите подробности относно CVE-2024-40981 и CVE-2025-0890 в своя блог. Потвърдихме, че засегнатите модели, съобщени от VulnCheck, са наследени продукти, които от години са достигнали края на жизнения цикъл (EOL). Поради това настоятелно препоръчваме на потребителите да ги заменят с продукти от по-ново поколение за оптимална защита.

Какви са уязвимостите?

CVE-2024-40890

**НЕПОДДЪРЖАНИ ПРИ НАЗНАЧАВАНЕТО**

Уязвимост при инжектиране на команда след удостоверяване на автентичността в програмата CGI на някои стари модели DSL CPE, включително VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500, може да позволи на автентикиран нападател да изпълнява команди на операционната система (ОС) на засегнатото устройство чрез изпращане на подправена HTTP POST заявка. Важно е да се отбележи, че достъпът до WAN е забранен по подразбиране на тези устройства и тази атака може да бъде успешна само ако конфигурираните от потребителя пароли са компрометирани.

CVE-2024-40891

**НЕПОДДЪРЖАН ПРИ ЗАДАВАНЕ**

Уязвимост при инжектиране на команда след удостоверяване в командите за управление на , включително VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500. Тази уязвимост може да позволи на автентикиран нападател да изпълнява команди на операционната система на засегнатото устройство чрез Telnet. Важно е да се отбележи, че достъпът до WAN и функцията Telnet са деактивирани по подразбиране на тези устройства и тази атака може да бъде успешна само ако конфигурираните от потребителя пароли са били компрометирани.

CVE-2025-0890

**НЕПОДДЪРЖАН ПРИ НАЗНАЧАВАНЕ**

Несигурни идентификационни данни по подразбиране за функцията Telnet в някои наследени модели DSL CPE, включително VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500, може да позволи на нападател да влезе в интерфейса за управление, ако администраторите имат възможност да променят данните по подразбиране, но не го направят. Важно е да се отбележи, че достъпът до WAN и функцията Telnet са изключени по подразбиране на тези устройства.

Какво трябва да направите?

Следните модели - VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500 - са наследени продукти, които са достигнали статус на излезли от употреба от няколко години. В съответствие с индустриалните практики за управление на жизнения цикъл на продуктите Zyxel съветва клиентите да заменят тези наследени продукти с оборудване от по-ново поколение за оптимална защита. Ако сте получили своя продукт Zyxel чрез доставчик на интернет услуги (ISP), моля, свържете се с него за поддръжка. За доставчиците на интернет услуги, моля, свържете се с търговските или сервизните представители на Zyxel за повече подробности.

Освен това деактивирането на отдалечения достъп и периодичната смяна на паролите са проактивни мерки, които могат да помогнат за предотвратяване на потенциални атаки.

Имате въпрос?

Ако сте доставчик на интернет услуги, моля, свържете се с вашия търговски или сервизен представител на Zyxel за допълнителна информация или съдействие. За клиенти, които са придобили устройството Zyxel от интернет доставчик, моля, обърнете се директно към екипа за поддръжка на интернет доставчика.

Координирана времева линия:

  • 2024-07-13: VulnCheck уведоми Zyxel за уязвимостите в EOL CPE VMG4325-B10A, без да предостави никакви доклади.
  • 2024-07-14: Zyxel поиска от VulnCheck да предостави подробен доклад; VulnCheck обаче не отговори.
  • 2024-07-31: VulnCheck публикува CVE-2024-40890 и CVE-2024-40891 в своя блог, без да информира Zyxel.
  • 2025-01-28: GreyNoise публикува CVE-2024-40890 и CVE-2024-40891 в своя блог.
  • 2025-01-29: Zyxel получи доклада на VulnCheck относно CVE-2024-40890, CVE-2024-40891 и CVE-2025-0890.
  • 2025-01-29: Zyxel научи за уязвимостите в някои наследени модели DSL CPE.

История на ревизиите

2025-2-4: Първоначална версия.

Статии в този раздел

Вижте още
Беше ли полезна тази статия?
0 от 0 считат материала за полезен
Споделяне