[SA] Security Advisories - Zyxel security advisory for command injection and insecure default credentials vulnerabilities in certain legacy DSL CPE.

Utworzono - Zaktualizowano
Serhii Boiarynov
Print Friendly and PDF
Masz więcej pytań? Wyślij zgłoszenie

Ważna informacja:
Drogi kliencie, pamiętaj, że korzystamy z tłumaczenia maszynowego, aby dostarczać artykuły w Twoim lokalnym języku. Nie wszystkie teksty mogą być przetłumaczone dokładnie. W przypadku pytań lub rozbieżności dotyczących dokładności informacji w przetłumaczonej wersji, prosimy o zapoznanie się z oryginalnym artykułem tutaj:Wersja oryginalna

Porady bezpieczeństwa Zyxel dotyczące wstrzykiwania poleceń i luk w zabezpieczeniach domyślnych poświadczeń w niektórych starszych urządzeniach DSL CPE

CVE: CVE-2024-40890, CVE-2024-40891, CVE-2025-0890

Podsumowanie

Zyxel niedawno wspomniał o CVE-2024-40890 i CVE-2024-40891 w poście na blogu GreyNoise. Ponadto VulnCheck poinformował nas, że opublikuje szczegóły techniczne dotyczące CVE-2024-40981 i CVE-2025-0890 na swoim blogu. Potwierdziliśmy, że dotknięte modele zgłoszone przez VulnCheck, są starszymi produktami, które osiągnęły koniec okresu eksploatacji (EOL) od lat. Dlatego zdecydowanie zalecamy użytkownikom zastąpienie ich produktami nowszej generacji w celu zapewnienia optymalnej ochrony.

Jakie są luki w zabezpieczeniach?

CVE-2024-40890

**NIEOBSŁUGIWANE PO PRZYPISANIU**

Luka typu postauthentication command injection w programie CGI niektórych starszych modeli DSL CPE, w tym VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 i SBG3500, może pozwolić uwierzytelnionemu atakującemu na wykonanie poleceń systemu operacyjnego (OS) na zagrożonym urządzeniu poprzez wysłanie spreparowanego żądania HTTP POST. Należy zauważyć, że dostęp do sieci WAN jest domyślnie wyłączony na tych urządzeniach, a atak ten może się powieść tylko wtedy, gdy hasła skonfigurowane przez użytkownika zostały naruszone.

CVE-2024-40891

**NIEOBSŁUGIWANE PO PRZYPISANIU**

Podatność na wstrzyknięcie poleceń po uwierzytelnieniu w poleceniach zarządzania , w tym VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 i SBG3500. Luka ta może pozwolić uwierzytelnionemu atakującemu na wykonanie poleceń systemu operacyjnego na zagrożonym urządzeniu za pośrednictwem protokołu Telnet. Należy zauważyć, że dostęp do sieci WAN i funkcja Telnet są domyślnie wyłączone na tych urządzeniach, a atak ten może się powieść tylko wtedy, gdy hasła skonfigurowane przez użytkownika zostały naruszone.

CVE-2025-0890

**NIEOBSŁUGIWANE PO PRZYPISANIU**

Niezabezpieczone domyślne dane uwierzytelniające dla funkcji Telnet w niektórych starszych modelach DSL CPE, w tym VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 i SBG3500, może pozwolić atakującemu na zalogowanie się do interfejsu zarządzania, jeśli administratorzy mają możliwość zmiany domyślnych poświadczeń, ale tego nie zrobią. Należy zauważyć, że dostęp do sieci WAN i funkcja Telnet są domyślnie wyłączone na tych urządzeniach.

Co należy zrobić?

Następujące modele - VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 i SBG3500 - są starszymi produktami, które osiągnęły status EOL przez kilka lat. Zgodnie z branżowymi praktykami zarządzania cyklem życia produktu, Zyxel zaleca klientom wymianę tych starszych produktów na sprzęt nowszej generacji w celu zapewnienia optymalnej ochrony. Jeśli produkt Zyxel został zakupiony za pośrednictwem dostawcy usług internetowych (ISP), należy skontaktować się z nim w celu uzyskania pomocy technicznej. W przypadku dostawców usług internetowych prosimy o kontakt z przedstawicielami handlowymi lub serwisowymi Zyxel w celu uzyskania dalszych szczegółów.

Ponadto wyłączenie zdalnego dostępu i okresowa zmiana haseł to proaktywne środki, które mogą pomóc w zapobieganiu potencjalnym atakom.

Masz pytanie?

Jeśli jesteś dostawcą usług internetowych, skontaktuj się z przedstawicielem handlowym lub serwisowym Zyxel w celu uzyskania dalszych informacji lub pomocy. W przypadku klientów, którzy nabyli urządzenie Zyxel od dostawcy usług internetowych, prosimy o bezpośredni kontakt z zespołem wsparcia dostawcy usług internetowych.

Skoordynowana oś czasu:

  • 2024-07-13: VulnCheck powiadomił Zyxel o lukach w zabezpieczeniach EOL CPE VMG4325-B10A bez dostarczania żadnych raportów.
  • 2024-07-14: Zyxel poprosił VulnCheck o dostarczenie szczegółowego raportu; jednak VulnCheck nie odpowiedział.
  • 2024-07-31: VulnCheck opublikował CVE-2024-40890 i CVE-2024-40891 na swoim blogu bez informowania firmy Zyxel.
  • 2025-01-28: GreyNoise opublikował CVE-2024-40890 i CVE-2024-40891 na swoim blogu.
  • 2025-01-29: Zyxel otrzymał raport VulnCheck dotyczący CVE-2024-40890, CVE-2024-40891 i CVE-2025-0890.
  • 2025-01-29: Zyxel dowiedział się o lukach w zabezpieczeniach niektórych starszych modeli DSL CPE.

Historia wersji

2025-2-4: Wydanie początkowe.

Artykuły w tej sekcji

Pokaż więcej
Czy ten artykuł był pomocny?
Liczba użytkowników, którzy uważają ten artykuł za przydatny: 0 z 0
Udostępnij