Виробник мережевого обладнання Zyxel оголосив про вихід оновлень прошивки, які усувають критичну уразливість у низці своїх пристроїв — зокрема домашніх та SOHO‑роутерів, оптичних терміналів і бездротових репітерів. Помилка дозволяє віддаленому зловмиснику виконувати команди на пристрої без будь-якої автентифікації, що створює високі ризики для домашніх користувачів і малого бізнесу.
Новий баг UPnP у Zyxel: CVE-2025-13942 і віддалене виконання команд
CVE-2025-13942 класифікується як уразливість типу command injection (ін’єкція команд) у реалізації протоколу UPnP (Universal Plug and Play) на пристроях Zyxel лінійок 4G LTE/5G NR CPE, DSL/Ethernet CPE, оптичних терміналах Fiber ONT та бездротових репітерах.
Проблема криється у функції обробки запитів UPnP: частина параметрів, що надходять із мережі, може бути інтерпретована операційною системою не як дані, а як системні команди. У результаті зловмисник отримує можливість виконувати на пристрої практично будь-які дії — від завантаження шкідливого ПЗ до зміни мережевих налаштувань.
Як працює атака через UPnP та SOAP-запити на роутерах Zyxel
Для експлуатації не потрібні логін і пароль. Атакуючому достатньо надіслати на вразливий пристрій спеціально сформований UPnP SOAP‑запит (формат обміну повідомленнями в рамках UPnP). Через некоректну фільтрацію вхідних даних частина вмісту такого запиту «вклинюється» у командний рядок ОС, і роутер виконує довільні команди.
Типові сценарії зловживання включають завантаження й запуск шкідливого ПЗ, створення нових облікових записів, зміну DNS‑налаштувань, а також підготовку плацдарму для подальшого проникнення у локальну мережу. Подібні механізми вже неодноразово використовувалися в ботнетах на кшталт Mirai для масових DDoS‑атак.
Критично важлива умова експлуатації — одночасно ввімкнені UPnP і WAN‑доступ (можливість керування пристроєм з Інтернету). На більшості моделей Zyxel віддалене адміністрування за замовчуванням вимкнене, проте його часто активують для роботи P2P‑клієнтів, ігрових консолей та інших сервісів, що потребують пробросу портів.
Масштаби ризику: скільки пристроїв Zyxel доступні з Інтернету
За даними проєкту Shadowserver, у глобальній мережі наразі виявляється близько 120 000 пристроїв Zyxel, з яких понад 76 000 — це роутери. Не всі вони обов’язково вразливі саме до CVE-2025-13942, однак така кількість публічно доступних пристроїв демонструє, наскільки привабливою ціллю для зловмисників залишаються споживчі та SOHO‑маршрутизатори.
У разі успішної атаки пристрій може бути включений до ботнету, використаний як проксі для анонімізації трафіку, джерело DDoS‑трафіку, майнер криптовалют або точка опори для подальшого руху всередині корпоративної чи домашньої мережі.
Додаткові уразливості Zyxel: атаки після автентифікації
Паралельно з CVE-2025-13942 компанія виправила ще дві уразливості — CVE-2025-13943 та CVE-2026-1459. Вони також належать до класу ін’єкцій команд, але для їхньої експлуатації потрібні дійсні облікові дані користувача або адміністратора.
На практиці зловмисники нерідко отримують такі дані через фішингові розсилки, перебір слабких паролів або повторне використання паролів, що раніше потрапили в публічні зливи. Після входу в веб‑інтерфейс роутера атакуючий може підмінити параметри в HTTP‑запитах і змусити пристрій виконувати довільні системні команди, фактично перетворюючи крадіжку пароля на повний контроль над мережевим обладнанням.
Непідтримувані роутери Zyxel та нульові дні без виправлень
Окрему увагу привернула позиція Zyxel щодо двох уразливостей нульового дня — CVE-2024-40890 та CVE-2024-40891. Ці баги вже активно використовуються в реальних атаках і зачіпають моделі роутерів, для яких завершився життєвий цикл підтримки. Виробник офіційно повідомив, що оновлення безпеки для цих пристроїв випущені не будуть, навіть попри те, що частина таких моделей досі продається в онлайн‑магазинах.
Користувачам застарілих і вразливих моделей рекомендують якнайшвидше замінити їх на актуальне обладнання з підтримуваними прошивками. Така ситуація підтверджує загальний тренд: домашні та офісні роутери мають обмежений строк безпечної експлуатації, після якого ризик невиправлених уразливостей стрімко зростає.
Практичні рекомендації з кібербезпеки для власників роутерів Zyxel
Оновлення прошивки та мінімізація поверхні атаки
1. Негайно оновіть прошивку. Перевірте доступні оновлення на офіційному сайті Zyxel або в панелі керування роутера і встановіть останню версію прошивки. Якщо підтримуються автоматичні оновлення, доцільно їх увімкнути.
2. Вимкніть UPnP, якщо він не є критично необхідним. UPnP спрощує відкриття портів для додатків, але водночас розширює поверхню атаки. За відсутності нагальної потреби цю функцію варто повністю вимкнути на маршрутизаторі.
3. Обмежте або вимкніть WAN‑доступ та віддалене адміністрування. Доступ до веб‑інтерфейсу роутера з Інтернету слід закрити або жорстко обмежити за IP‑адресами, бажано з використанням VPN і складних унікальних паролів.
Захист облікових записів і аудит обладнання
4. Використовуйте надійні паролі та за можливості багатофакторну автентифікацію. Це знижує ризик експлуатації уразливостей, що залежать від компрометації облікових даних, таких як CVE-2025-13943 та CVE-2026-1459.
5. Регулярно проводьте аудит мережевого обладнання. Важливо періодично перевіряти всі роутери й точки доступу, їхній вік, статус підтримки виробником та наявність критичних уразливостей. Застарілі, непідтримувані моделі доцільніше замінити, а не тримати в експлуатації роками.
Мережеві пристрої вже давно стали «вхідною точкою» в цифрову інфраструктуру дому й офісу. Уразливості рівня CVE-2025-13942 демонструють, що кібербезпека не обмежується лише антивірусом на комп’ютері. Своєчасні оновлення прошивки, відключення зайвих сервісів (UPnP, віддалене керування по WAN) і планова заміна застарілого обладнання суттєво ускладнюють роботу зловмисникам. Чим уважніше власники ставляться до безпеки своїх роутерів сьогодні, тим менше шансів, що ці пристрої завтра опиняться в чужому ботнеті.
