Компания Zyxel официально подтвердила наличие критических уязвимостей в устаревших CPE-устройствах, которые активно эксплуатируются злоумышленниками. Производитель отказался выпускать исправления, рекомендуя пользователям перейти на современные поддерживаемые модели.
Детали обнаруженных уязвимостей
Специалисты компании VulnCheck идентифицировали две критические уязвимости в июле 2024 года. CVE-2024-40891 позволяет аутентифицированным пользователям осуществлять инъекции Telnet-команд через компонент libcms_cli.so, что может привести к выполнению произвольного кода на устройстве. CVE-2025-0890 связана с использованием слабых учетных данных по умолчанию, включая скрытую учетную запись supervisor с расширенными привилегиями.
Масштаб проблемы
По данным платформы Censys, в интернете доступно более 1500 уязвимых устройств Zyxel CPE. Наибольшая концентрация затронутого оборудования зафиксирована на Филиппинах, в Турции, Великобритании, Франции и Италии. Компания GreyNoise зафиксировала активные попытки эксплуатации этих уязвимостей злоумышленниками — устройства атакуются в реальных условиях прямо сейчас.
Затронутые модели и позиция производителя
В список уязвимого оборудования входят устройства серий VMG и SBG: VMG1312-B10A/B/E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, а также SBG3300 и SBG3500. Zyxel подтвердил, что все перечисленные устройства сняты с поддержки — патчей не будет.
Кто под угрозой
Под угрозой находятся домашние пользователи и малые предприятия, использующие перечисленные модели Zyxel для подключения к интернету через провайдера. Операторы связи и ISP, развернувшие эти устройства у абонентов в массовом порядке, также несут серьезный риск: компрометация одного устройства может стать точкой входа в сеть клиента. Поскольку эксплуатация CVE-2024-40891 требует только авторизации — а CVE-2025-0890 раскрывает учетные данные по умолчанию — обе уязвимости могут использоваться в связке.
Рекомендации для владельцев Zyxel CPE без официального патча
- Немедленно замените уязвимые устройства на современные модели с активной поддержкой безопасности.
- До замены отключите удаленное управление (Telnet, SSH, веб-интерфейс) через WAN-интерфейс устройства.
- Измените все пароли по умолчанию, включая учетную запись supervisor, если она доступна через консоль.
- Ограничьте доступ к устройству только из доверенных IP-адресов через правила межсетевого экрана.
- Проверьте журналы устройства на наличие необычных Telnet-сессий или неизвестных подключений.
