Zyxel周二發(fā)布消息稱，涉及多款舊DSL用戶端設(shè)備（CPE）產(chǎn)品中的兩個零日漏洞將不再提供修復(fù)措施。此前，威脅情報公司GreyNoise曾發(fā)出警告，有1500多臺設(shè)備受到一個嚴(yán)重的命令注入漏洞影響，而且這個漏洞正在被基于Mirai的僵尸網(wǎng)絡(luò)大肆利用。

GreyNoise公司表示：“在發(fā)現(xiàn)利用CVE - 2024 - 40891的IP地址與被歸類為Mirai的IP地址存在顯著重疊后，我們對Mirai的一個近期變種展開了調(diào)查，結(jié)果確認(rèn)利用CVE - 2024 - 40891的能力已經(jīng)被整合到某些Mirai變種之中。”

CVE - 2024 - 40891這個漏洞，于2024年中旬和CVE - 2024 - 40890（也是一個類似的命令注入漏洞）一同被披露出來。它們的主要區(qū)別在于攻擊向量，一個是HTTP，另一個是Telnet。

攻擊者能夠利用這些安全漏洞，在易受攻擊的設(shè)備上執(zhí)行任意命令，進(jìn)而完全掌控設(shè)備并竊取數(shù)據(jù)，這極有可能危及部署這些產(chǎn)品的所在網(wǎng)絡(luò)。

周二當(dāng)天，Zyxel 明確表示，這兩個問題會影響到多款DSL CPE型號，具體包含VMG1312 - B10A、VMG1312 - B10B、VMG1312 - B10E、VMG3312 - B10A、VMG3313 - B10A、VMG3926 - B10B、VMG4325 - B10A、VMG4380 - B10A、VMG8324 - B10A、VMG8924 - B10A、SBG3300以及SBG3500。

Zyxel 還指出，在這些設(shè)備上，廣域網(wǎng)（WAN）接入和用于利用漏洞的Telnet功能，默認(rèn)是處于禁用狀態(tài)的。而且，攻擊者若要利用這些漏洞，需要使用被攻破的憑據(jù)登錄受影響的設(shè)備才行。

按照供應(yīng)商的說法，由于受影響的型號是多年前就已經(jīng)停止支持的老舊設(shè)備，所以針對這兩個漏洞都不會發(fā)布補(bǔ)丁。對于在這些DSL CPE產(chǎn)品中新發(fā)現(xiàn)的一個漏洞（編號CVE - 2025 - 0890，該漏洞允許攻擊者使用默認(rèn)憑據(jù)登錄管理界面），同樣也不會有補(bǔ)丁發(fā)布。

VulnCheck公司向合勤科技報告了這些漏洞，并且解釋說，受影響的設(shè)備預(yù)先配置有三個硬編碼賬戶，分別是“supervisor”、“admin”和“zyuser”。

其中，supervisor在網(wǎng)絡(luò)界面不可見，但在Telnet界面具備相應(yīng)功能，包括能夠訪問一個隱藏命令，通過這個命令它可以獲得對系統(tǒng)的無限制訪問權(quán)限。而zyuser賬戶在用戶表中是可見的，并且具有提升后的權(quán)限，攻擊者可利用它通過已被利用的CVE - 2024 - 40891漏洞實現(xiàn)完全遠(yuǎn)程代碼執(zhí)行。

VulnCheck公司表示：“雖然這些設(shè)備已經(jīng)老化，按道理應(yīng)該停止支持了，但目前仍有數(shù)千臺設(shè)備處于在線暴露的狀態(tài)。默認(rèn)憑據(jù)與命令注入這兩者相結(jié)合，使得它們成為容易被攻擊的目標(biāo)，這也凸顯出不安全默認(rèn)配置以及糟糕的漏洞透明度所帶來的危險。”

據(jù)Zyxel 稱，VulnCheck公司在2024年7月就報告了CVE - 2024 - 40890和CVE - 2024 - 40891這兩個漏洞，不過當(dāng)時并沒有提供詳細(xì)報告，而是直接公開披露了這些漏洞。直到GreyNoise上周發(fā)出野外利用警告之后，VulnCheck公司才發(fā)送了關(guān)于所有三個漏洞的詳細(xì)信息。

供應(yīng)商還發(fā)出警告，受影響的設(shè)備“是已經(jīng)達(dá)到產(chǎn)品生命周期終止（EOL）狀態(tài)多年的老舊產(chǎn)品。按照行業(yè)產(chǎn)品生命周期管理慣例，合勤科技建議客戶用新一代設(shè)備替換這些老舊產(chǎn)品，這樣才能實現(xiàn)最佳保護(hù)。”

參考來源：https://www.securityweek.com/zyxel-issues-no-patch-warning-for-exploited-zero-days/