Специалисты по кибербезопасности из компании GreyNoise зафиксировали активную эксплуатацию критической уязвимости CVE-2024-40891 в устройствах серии Zyxel CPE. Особую тревогу вызывает тот факт, что данная брешь в безопасности, обнаруженная летом 2023 года, до сих пор остается без патча от производителя.
Технические детали уязвимости
CVE-2024-40891 представляет собой критическую уязвимость внедрения команд, которая позволяет злоумышленникам выполнять произвольные команды через служебные учетные записи supervisor и zyuser без необходимости авторизации. Эксплуатация уязвимости осуществляется через протокол telnet, что отличает её от схожей уязвимости CVE-2024-40890, использующей HTTP.
Масштаб угрозы
По данным аналитической платформы Censys, в настоящее время в сети обнаружено более 1500 потенциально уязвимых устройств Zyxel CPE. Наибольшая концентрация таких устройств наблюдается на Филиппинах, в Турции, Великобритании, Франции и Италии. Специалисты GreyNoise отмечают, что большинство атак осуществляется с IP-адресов, зарегистрированных на территории Тайваня.
Рекомендации по защите
В условиях отсутствия официального патча специалисты по информационной безопасности рекомендуют следующие меры защиты:
1. Внедрение блокировки IP-адресов, с которых зафиксированы попытки эксплуатации
2. Мониторинг сетевого трафика на предмет подозрительных telnet-запросов
3. Ограничение доступа к административному интерфейсу устройств путем создания белого списка разрешенных IP-адресов
4. Полное отключение функций удаленного управления, если они не являются критически необходимыми
Учитывая критический характер уязвимости и отсутствие патча, администраторам сетевой инфраструктуры настоятельно рекомендуется незамедлительно принять превентивные меры защиты. Ситуация требует повышенного внимания, поскольку успешная эксплуатация уязвимости может привести к полной компрометации устройства и последующему проникновению злоумышленников в корпоративную сеть.
