[SA] Avisos de seguridad - Zyxel security advisory for command injection and insecure default credentials vulnerabilities in certain legacy DSL CPE

Creación - Actualización
Serhii Boiarynov
Print Friendly and PDF
¿Tiene más preguntas? Enviar una solicitud

Aviso importante:
Estimado cliente, tenga en cuenta que utilizamos traducción automática para proporcionar artículos en su idioma local. Es posible que no todo el texto se traduzca con exactitud. Si hay preguntas o discrepancias sobre la exactitud de la información en la versión traducida, por favor revise el artículo original aquí:Versión Original

Zyxel aviso de seguridad para la inyección de comandos y las vulnerabilidades de credenciales por defecto inseguro en algunos CPE DSL legado

CVEs: CVE-2024-40890, CVE-2024-40891, CVE-2025-0890

Resumen

Zyxel ha mencionado recientemente CVE-2024-40890 y CVE-2024-40891 en un post del blog de GreyNoise. Además, VulnCheck nos ha informado de que publicará los detalles técnicos relativos a CVE-2024-40981 y CVE-2025-0890 en su blog. Hemos confirmado que los modelos afectados reportados por VulnCheck, son productos heredados que han llegado al final de su vida útil (EOL) desde hace años. Por lo tanto, recomendamos encarecidamente a los usuarios que los sustituyan por productos de última generación para una protección óptima.

¿Cuáles son las vulnerabilidades?

CVE-2024-40890

**SIN SOPORTE CUANDO SE ASIGNA**

Una vulnerabilidad de inyección de comandos posterior a la autenticación en el programa CGI de determinados modelos DSL CPE heredados, incluidos VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 y SBG3500, podría permitir a un atacante autenticado ejecutar comandos del sistema operativo (SO) en un dispositivo afectado mediante el envío de una solicitud HTTP POST manipulada. Es importante señalar que el acceso WAN está desactivado por defecto en estos dispositivos, y este ataque sólo puede tener éxito si las contraseñas configuradas por el usuario han sido comprometidas.

CVE-2024-40891

**NO SE ADMITE CUANDO SE ASIGNA**.

Vulnerabilidad de inyección de comandos posterior a la autenticación en los comandos de gestión de , incluidos VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 y SBG3500. Esta vulnerabilidad podría permitir a un atacante autenticado ejecutar comandos del sistema operativo en un dispositivo afectado a través de Telnet. Es importante señalar que el acceso WAN y la función Telnet están desactivados por defecto en estos dispositivos, y este ataque sólo puede tener éxito si las contraseñas configuradas por el usuario han sido comprometidas.

CVE-2025-0890

**NO SE ADMITE CUANDO SE ASIGNA**.

Credenciales predeterminadas inseguras para la función Telnet en determinados modelos de CPE DSL heredados, incluidos VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 y SBG3500, podría permitir a un atacante iniciar sesión en la interfaz de gestión si los administradores tienen la opción de cambiar las credenciales predeterminadas pero no lo hacen. Es importante tener en cuenta que el acceso WAN y la función Telnet están desactivados por defecto en estos dispositivos.

¿Qué debe hacer?

Los siguientes modelos -VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 y SBG3500- son productos heredados que han alcanzado el estado EOL hace varios años. De acuerdo con las prácticas de gestión del ciclo de vida de los productos del sector, Zyxel aconseja a los clientes que sustituyan estos productos heredados por equipos de última generación para una protección óptima. Si obtuvo su producto Zyxel a través de un proveedor de servicios de Internet (ISP), póngase en contacto con el ISP para obtener asistencia. En el caso de los ISP, póngase en contacto con su representante de ventas o servicio de Zyxel para obtener más información.

Además, deshabilitar el acceso remoto y cambiar periódicamente las contraseñas son medidas proactivas que pueden ayudar a prevenir posibles ataques.

¿Tiene alguna pregunta?

Si usted es un ISP, por favor contacte con su representante de ventas o servicio de Zyxel para más información o asistencia. Para los clientes que adquirieron su dispositivo Zyxel de un ISP, por favor póngase en contacto con el equipo de soporte del ISP directamente.

Cronología coordinada:

  • 2024-07-13: VulnCheck notificó a Zyxel sobre vulnerabilidades en el CPE EOL VMG4325-B10A sin proporcionar ningún informe.
  • 2024-07-14: Zyxel solicitó a VulnCheck que proporcionara un informe detallado; sin embargo, VulnCheck no respondió.
  • 2024-07-31: VulnCheck publicó CVE-2024-40890 y CVE-2024-40891 en su blog sin informar a Zyxel.
  • 2025-01-28: GreyNoise publicó CVE-2024-40890 y CVE-2024-40891 en su blog.
  • 2025-01-29: Zyxel recibe el informe de VulnCheck sobre CVE-2024-40890, CVE-2024-40891 y CVE-2025-0890.
  • 2025-01-29: Zyxel se percató de las vulnerabilidades en ciertos modelos CPE DSL heredados.

Historial de revisiones

2025-2-4: Versión inicial.

Artículos en esta sección

Más información
¿Fue útil este artículo?
Usuarios a los que les pareció útil: 0 de 0
Compartir