A fabricante de hardware de Taiwan, Zyxel, anunciou que não lançará um patch para duas vulnerabilidades exploradas ativamente em vários produtos Legacy DSL Customersises Equipment (CPE). Essas vulnerabilidades, rastreadas como CVE-2024-40890 e CVE-2024-40891Permita que os invasores executem comandos arbitrários, levando a um potencial comprometimento do sistema e a exfiltração de dados.
Zyxel não remendará vulnerabilidades críticas em dispositivos DSL legados
Startup de inteligência de ameaças Greynoise relatado No final de janeiro, as vulnerabilidades do dia zero estavam sendo exploradas ativamente, inclusive por botnets de Mirai, sugerindo seu uso em ataques em larga escala. A Zyxel afirma que tomou conhecimento dessas vulnerabilidades em 29 de janeiro, após o alerta de Greynoise sobre sua exploração.
Vulncheck descobriu as vulnerabilidades em julho de 2024 e as relatou a Zyxel em agosto do mesmo ano. No entanto, a Zyxel não divulgou as falhas até agora, afirmando que os produtos herdados impactados atingiram o status de final de vida (EOL) por vários anos. Os modelos afetados incluem:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Zyxel ainda mais explicado que as funções WAN Acesso e Telnet comumente exploradas para essas vulnerabilidades são desativadas por padrão nesses dispositivos; No entanto, um invasor precisaria fazer login usando credenciais comprometidas para explorar os bugs. A empresa observou que, como o suporte a esses modelos foi interrompido anos atrás, não fornecerá patches para as vulnerabilidades.
Vulncheck indicou que muitos dos dispositivos vulneráveis ainda estão disponíveis para compra, apesar da designação de Zyxel como produtos herdados. Eles também destacaram que os dispositivos utilizam contas codificadas, tornando -as metas fáceis para a exploração. Aproximadamente 1.500 dispositivos vulneráveis permanecem expostos à Internet, de acordo com a Censys, um mecanismo de pesquisa para dispositivos da Internet das Coisas.
Além das vulnerabilidades acima mencionadas, a Zyxel identificou uma nova vulnerabilidade, CVE-2025-0890, que permite que os invasores acessem a interface de gerenciamento usando credenciais padrão. O conselho da Zyxel para os clientes é substituir esses produtos herdados por equipamentos de geração mais recente para uma proteção ideal.
Crédito da imagem em destaque: Zyxel
