[SA] Bezpečnostní upozornění - Bezpečnostní upozornění společnosti Zyxel týkající se zranitelností typu command injection a insecure default credentials v některých starších zařízeních DSL CPE

Vytvořeno - Aktualizováno
Serhii Boiarynov
Print Friendly and PDF
Máte další otázky? Odeslat požadavek

Důležité upozornění:
Upozornění: Vážení zákazníci, upozorňujeme, že k poskytování článků v místním jazyce používáme strojový překlad. Ne všechny texty mohou být přeloženy přesně. V případě dotazů nebo nesrovnalostí ohledně správnosti informací v přeložené verzi si prosím prohlédněte původní článek zde: Originální verze

Bezpečnostní upozornění společnosti Zyxel týkající se zranitelností typu command injection a insecure default credentials v některých starších zařízeních DSL CPE

CVE: CVE-2024-40890, CVE-2024-40891, CVE-2025-0890

Shrnutí

Zyxel nedávno CVE-2024-40890 a CVE-2024-40891 zmiňoval v příspěvku na blogu GreyNoise. Kromě toho nás společnost VulnCheck informovala, že na svém blogu zveřejní technické podrobnosti týkající se CVE-2024-40981 a CVE-2025-0890. Potvrdili jsme, že postižené modely nahlášené společností VulnCheck, jsou starší produkty, které již před lety dosáhly konce životnosti (EOL). Proto důrazně doporučujeme uživatelům, aby je pro optimální ochranu nahradili produkty novější generace.

O jaké zranitelnosti se jedná?

CVE-2024-40890

**NEPODPOROVANÁ V DOBĚ PŘIŘAZENÍ**

Zranitelnost post-authentication command injection v programu CGI některých starších modelů DSL CPE, včetně VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 a SBG3500, by mohly autentizovanému útočníkovi umožnit spuštění příkazů operačního systému (OS) na postiženém zařízení odesláním podvrženého požadavku HTTP POST. Je důležité poznamenat, že přístup k síti WAN je na těchto zařízeních ve výchozím nastavení zakázán a tento útok může být úspěšný pouze v případě, že byla prolomena hesla nastavená uživatelem.

CVE-2024-40891

**NEPODPOROVÁNO PŘI PŘIŘAZENÍ**

Zranitelnost post-authentication command injection v příkazech pro správu , včetně VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 a SBG3500. Tato zranitelnost může autentizovanému útočníkovi umožnit spuštění příkazů operačního systému na postiženém zařízení prostřednictvím sítě Telnet. Je důležité poznamenat, že přístup k síti WAN a funkce Telnet jsou na těchto zařízeních ve výchozím nastavení zakázány a tento útok může být úspěšný pouze v případě, že byla prolomena hesla nastavená uživatelem.

CVE-2025-0890

**NEPODPOROVÁNO PŘI PŘIŘAZENÍ**

Nezabezpečené výchozí pověření pro funkci Telnet v některých starších modelech DSL CPE, včetně VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 a SBG3500, by mohly útočníkovi umožnit přihlášení do rozhraní pro správu, pokud mají správci možnost změnit výchozí pověření, ale neučiní tak. Je důležité si uvědomit, že přístup k síti WAN a funkce Telnet jsou u těchto zařízení ve výchozím nastavení zakázány.

Co byste měli udělat?

Následující modely - VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 a SBG3500 - jsou starší produkty, které již několik let dosáhly stavu EOL. V souladu s průmyslovými postupy správy životního cyklu produktů doporučuje společnost Zyxel zákazníkům, aby tyto starší produkty nahradili zařízeními novější generace, a zajistili tak jejich optimální ochranu. Pokud jste produkt Zyxel získali prostřednictvím poskytovatele internetových služeb (ISP), obraťte se na něj s žádostí o podporu. V případě poskytovatelů internetových služeb se pro další informace obraťte na své obchodní nebo servisní zástupce společnosti Zyxel.

Kromě toho je zakázání vzdáleného přístupu a pravidelná změna hesel proaktivním opatřením, které může pomoci zabránit potenciálním útokům.

Máte dotaz?

Jste-li poskytovatelem internetových služeb, obraťte se na svého obchodního nebo servisního zástupce společnosti Zyxel, který vám poskytne další informace nebo pomoc. Zákazníci, kteří získali zařízení Zyxel od poskytovatele internetových služeb, se obraťte přímo na tým podpory poskytovatele.

Koordinovaný časový plán:

  • 2024-07-13: VulnCheck informoval společnost Zyxel o zranitelnostech v zařízení EOL CPE VMG4325-B10A, aniž by poskytl jakékoli zprávy.
  • 2024-07-14: Společnost Zyxel požádala společnost VulnCheck o poskytnutí podrobné zprávy; společnost VulnCheck však nereagovala.
  • 2024-07-31: VulnCheck na svém blogu zveřejnil CVE-2024-40890 a CVE-2024-40891, aniž by společnost Zyxel informoval.
  • 2025-01-28: GreyNoise zveřejnil na svém blogu CVE-2024-40890 a CVE-2024-40891.
  • 2025-01-29: Zyxel obdržel zprávu společnosti VulnCheck týkající se CVE-2024-40890, CVE-2024-40891 a CVE-2025-0890.
  • 2025-01-29: Společnost Zyxel se dozvěděla o zranitelnostech některých starších modelů DSL CPE.

Historie revizí

2025-2-4: První vydání.

Články v tomto oddílu

Zobrazit další
Byl pro vás tento článek užitečný?
Počet uživatelů, kteří toto označili za užitečné: 0 z 0
Sdílet