Производитель сетевого оборудования Zyxel выпустил обновления прошивок для устранения критической уязвимости в ряде своих устройств, включая роутеры, оптические терминалы и беспроводные репитеры. Данный дефект позволяет удалённым злоумышленникам выполнять произвольные команды на устройстве без какой-либо аутентификации, что делает проблему особенно опасной как для домашних пользователей, так и для малого бизнеса.
Критическая уязвимость UPnP в роутерах Zyxel (CVE-2025-13942)
CVE-2025-13942 связана с инъекцией команд (command injection) в реализации протокола UPnP (Universal Plug and Play) на устройствах Zyxel серий 4G LTE/5G NR CPE, DSL/Ethernet CPE, оптических терминалах Fiber ONT и беспроводных репитерах. Уязвимость затрагивает функцию обработки UPnP-запросов и позволяет атакующему подменить часть параметров так, чтобы они интерпретировались операционной системой как системные команды.
Как происходит атака через UPnP и SOAP-запросы
Для эксплуатации не требуется логин и пароль. Злоумышленнику достаточно отправить на уязвимое устройство специально сформированный UPnP SOAP-запрос (формат обмена сообщениями в рамках UPnP). В результате неправильной обработки входных данных происходит инъекция команд, и устройство выполняет произвольные инструкции на уровне операционной системы — например, загрузку и запуск вредоносного ПО, создание новых пользователей или изменение настроек сети.
При этом важное условие эксплуатации — одновременное включение UPnP и WAN-доступа (удалённого доступа к интерфейсу устройства из Интернета). По умолчанию WAN-доступ на большинстве моделей Zyxel отключён, однако его нередко активируют для удалённого администрирования, работы с P2P‑клиентами, игровыми консолями и другими сервисами, которым требуется проброс портов.
Масштаб риска: сколько устройств Zyxel доступно из Интернета
По данным проекта Shadowserver, в Интернете сейчас обнаруживается порядка 120 000 устройств Zyxel, из которых более 76 000 — это роутеры. Не все они обязательно подвержены именно CVE-2025-13942, однако столь значительная поверхность атаки показывает, что потребительские и SOHO‑устройства остаются привлекательной целью для создателей ботнетов и вымогателей.
При успешной эксплуатации подобной уязвимости устройство может быть включено в ботнет, использоваться для DDoS‑атак, проксирования трафика, скрытого майнинга или дальнейшего продвижения атаки внутрь локальной сети организации.
Дополнительные уязвимости Zyxel: атаки после аутентификации
Помимо критической проблемы в UPnP, Zyxel закрыла ещё две уязвимости — CVE-2025-13943 и CVE-2026-1459. Они также относятся к классу инъекций команд, но требуют наличия действительных учётных данных администратора или пользователя.
В реальных сценариях злоумышленники часто получают такие данные за счёт фишинга, перебора слабых паролей или повторного использования паролей, утёкших с других сервисов. После входа в панель управления уязвимость позволяет подменить параметры в HTTP‑запросах и добиться выполнения произвольных команд на роутере. Фактически это переводит компрометацию учётной записи в полный контроль над устройством и, в ряде случаев, над всей сегментом сети.
Неподдерживаемые роутеры Zyxel и нулевые дни без патчей
Отдельное внимание привлекла позиция производителя по двум уязвимостям нулевого дня — CVE-2024-40890 и CVE-2024-40891. Эти баги уже активно эксплуатируются в атаках и затрагивают роутеры Zyxel, для которых закончился срок поддержки. Компания официально предупредила, что патчи для этих моделей выпускаться не будут, даже несмотря на то, что некоторые из таких устройств всё ещё доступны к покупке в онлайн‑магазинах.
Вместо обновлений прошивки производитель рекомендует пользователям уязвимых, но устаревших роутеров как можно скорее заменить их на актуальные модели с поддерживаемыми версиями прошивок. Это подчёркивает важный тренд: сетевое оборудование, особенно в сегменте домашних и офисных роутеров, всё чаще имеет ограниченный срок безопасной эксплуатации, после чего риск эксплуатации необновляемых уязвимостей резко растёт.
Рекомендации по защите владельцам роутеров Zyxel
Для минимизации рисков эксплуатации CVE-2025-13942 и сопутствующих уязвимостей администраторам и пользователям стоит предпринять несколько шагов:
1. Немедленно обновить прошивку. Проверить наличие патчей на официальном сайте Zyxel или в панели управления роутера и установить последнюю версию прошивки для конкретной модели. Автоматические обновления, если они доступны, желательно включить.
2. Отключить UPnP там, где это возможно. UPnP значительно упрощает открытие портов приложениями, но одновременно расширяет поверхность атаки. Если нет критической необходимости в этой функции, её лучше полностью отключить на роутере.
3. Ограничить или отключить WAN-доступ и удалённое администрирование. Доступ к панели управления роутером из Интернета следует закрыть, либо жёстко ограничить по IP‑адресам, использовать VPN и сложные, уникальные пароли.
4. Использовать надёжные пароли и двухфакторную аутентификацию (где доступна). Это снижает риск эксплуатации уязвимостей, зависящих от компрометации учётных данных, таких как CVE-2025-13943 и CVE-2026-1459.
5. Проводить регулярный аудит сетевого оборудования. Важно периодически инвентаризировать все роутеры и точки доступа, проверять их актуальность, статус поддержки производителем и наличие критических уязвимостей. Старые, неподдерживаемые модели разумнее заменять, а не держать в эксплуатации годами.
Сетевые устройства давно стали «входной дверью» в цифровую инфраструктуру дома и офиса. Критические уязвимости в роутерах, такие как CVE-2025-13942, наглядно показывают, что безопасность больше нельзя сводить только к антивирусу на компьютере. Регулярное обновление прошивок, отказ от избыточно открытых сервисов (UPnP, удалённое управление по WAN) и своевременная замена устаревшего оборудования — базовые шаги, которые существенно снижают риск кибератак. Чем ответственнее владельцы относятся к своим роутерам сегодня, тем сложнее злоумышленникам будет использовать эти устройства завтра.
