Il produttore di hardware di Taiwan Zyxel ha annunciato che non rilascerà una patch per due vulnerabilità sfruttate attivamente nei prodotti CPE per le attrezzature per i clienti DSL (CPE) di più eredità. Queste vulnerabilità, monitorate come CVE-2024-40890 E CVE-2024-40891consentire agli aggressori di eseguire comandi arbitrari, portando a potenziali compromessi del sistema e esfiltrazione di dati.
Zyxel non patcherà le vulnerabilità critiche nei dispositivi DSL legacy
Startup di intelligence delle minacce grigio riportato Alla fine di gennaio che le vulnerabilità zero-day venivano attivamente sfruttate, anche da botnet con sede a Mirai, suggerendo il loro uso in attacchi su larga scala. Zyxel afferma di essere reso a conoscenza di queste vulnerabilità il 29 gennaio, dopo l’avviso di Greynoise riguardo al loro sfruttamento.
VulnCheck ha scoperto le vulnerabilità nel luglio 2024 e le ha riportate a Zyxel nell’agosto dello stesso anno. Tuttavia, Zyxel non ha rivelato i difetti fino ad ora, affermando che i prodotti legacy colpiti hanno raggiunto lo stato di fine vita (EOL) per diversi anni. I modelli interessati includono:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Zyxel ulteriormente spiegato che le funzioni WAN Access e Telnet comunemente sfruttate per queste vulnerabilità sono disabilitate per impostazione predefinita su questi dispositivi; Tuttavia, un utente malintenzionato dovrebbe accedere utilizzando credenziali compromesse per sfruttare i bug. La società ha osservato che, poiché il supporto per questi modelli è stato interrotto anni fa, non fornirà patch per le vulnerabilità.
VulnCheck ha indicato che molti dei dispositivi vulnerabili sono ancora disponibili per l’acquisto, nonostante la designazione da parte di Zyxel come prodotti legacy. Hanno anche sottolineato che i dispositivi utilizzano account hardcoded, rendendoli facili obiettivi per lo sfruttamento. Circa 1.500 dispositivi vulnerabili rimangono esposti a Internet, secondo Censys, un motore di ricerca per i dispositivi Internet of Things.
Oltre alle vulnerabilità di cui sopra, Zyxel ha identificato una nuova vulnerabilità, CVE-2025-0890, che consente agli aggressori di accedere all’interfaccia di gestione utilizzando le credenziali predefinite. Il consiglio di Zyxel ai clienti è di sostituire questi prodotti legacy con attrezzature di nuova generazione per una protezione ottimale.
Credito immagine in primo piano: Zyxel
