Les pirates exploitent une vulnérabilité critique d’injection de commandes dans les périphériques de la série Zyxel CPE qui est actuellement suivie sous le nom de CVE-2024-40891 et qui n’a pas été corrigée depuis juillet dernier.
Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter des commandes arbitraires à l’aide des comptes de service « superviseur » ou « zyuser ».
La société de veille sur les vulnérabilités VulnCheck a ajouté le problème de sécurité à sa base de données l’année dernière le 12 juillet et l’a répertorié parmi d’autres problèmes exploités dans la nature pour un accès initial.
Les détails techniques sur la vulnérabilité n’ont pas été divulgués publiquement et Zyxel n’a pas publié d’avis de sécurité ni de correctif pour CVE-2024-40891, et le problème reste exploitable dans le dernier firmware.
Il semble que les pirates informatiques aient découvert comment exploiter la vulnérabilité et l’utilisent dans des attaques, car la plate-forme de surveillance des menaces GreyNoise a récemment observé une activité d’exploitation provenant de plusieurs adresses IP uniques.
GreyNoise note que la faille est similaire à CVE-2024-40890, qui est basée sur HTTP. Cependant, VulnCheck a confirmé que la détection d’exploitation actuelle concerne le CVE-2024-40891 non corrigé, qui est basé sur le protocole telnet.
« GreyNoise observe des tentatives d’exploitation actives ciblant une vulnérabilité d’injection de commande critique zero-day dans les périphériques de la série Zyxel CPE suivis sous le numéro CVE-2024-40891 », lit-on dans le bulletin.
“À l’heure actuelle, la vulnérabilité n’est pas corrigée et n’a pas été divulguée publiquement. Les attaquants peuvent exploiter cette vulnérabilité pour exécuter des commandes arbitraires sur les appareils affectés, entraînant une compromission complète du système, une exfiltration de données ou une infiltration du réseau » – GreyNoise
Le service de numérisation Internet Censys rapporte que plus de 1 500 appareils de la série Zyxel CPE sont actuellement exposés en ligne, principalement aux Philippines, en Turquie, au Royaume-Uni, en France et en Italie.
Considérant qu’aucune mise à jour de sécurité n’est disponible pour résoudre le problème, les administrateurs système devraient au moins essayer de bloquer les adresses IP lançant les tentatives d’exploitation. Cependant, ces attaques à partir d’autres adresses IP sont toujours possibles.
Pour une atténuation supplémentaire, il est recommandé de surveiller le trafic pour les demandes telnet atypiques aux interfaces de gestion Zyxel CPE et de restreindre l’accès à l’interface d’administration uniquement à une liste d’autorisation IP spécifiée.
Si les fonctionnalités de gestion à distance ne sont pas utilisées/nécessaires, il est préférable de les désactiver entièrement pour réduire la surface d’attaque.
Breachtrace a contacté Zyxel pour lui demander un commentaire, mais nous attendons toujours la réponse du fournisseur.