GreyNoise зафиксировала активную эксплуатацию критической уязвимости CVE-2024-40891 в устройствах серии Zyxel CPE. Уязвимость позволяет выполнять произвольные команды без авторизации через telnet, а патч от Zyxel на момент публикации отсутствует несмотря на то, что проблема известна с лета 2023 года.
Технические детали уязвимости
CVE-2024-40891 представляет собой критическую уязвимость внедрения команд, которая позволяет злоумышленникам выполнять произвольные команды через служебные учетные записи supervisor и zyuser без необходимости авторизации. Эксплуатация уязвимости осуществляется через протокол telnet, что отличает её от схожей уязвимости CVE-2024-40890, использующей HTTP.
Масштаб угрозы
По данным аналитической платформы Censys, в настоящее время в сети обнаружено более 1500 потенциально уязвимых устройств Zyxel CPE. Наибольшая концентрация таких устройств наблюдается на Филиппинах, в Турции, Великобритании, Франции и Италии. Специалисты GreyNoise отмечают, что большинство атак осуществляется с IP-адресов, зарегистрированных на территории Тайваня.
Рекомендации по защите
В условиях отсутствия официального патча рекомендуются следующие меры:
- Заблокировать входящий telnet-трафик (порт 23) на периметре сети и отключить telnet-доступ к CPE-устройствам в настройках, если это возможно.
- Внести в ACL только разрешённые IP-адреса для доступа к административному интерфейсу.
- Настроить мониторинг аномальных telnet-соединений в SIEM — особенно с IP-адресов, геолоцированных на Тайвань.
- Если удалённое управление не требуется, отключить его полностью до выхода официального патча Zyxel.
