Zyxel a émis un avis de sécurité sur les failles activement exploitées dans les périphériques de la série CPE, avertissant qu’il n’a pas l’intention de publier des correctifs de correction et exhortant les utilisateurs à passer à des modèles activement pris en charge.

VulnCheck a découvert les deux failles en juillet 2024, mais la semaine dernière, GreyNoise a rapporté avoir vu des tentatives d’exploitation dans la nature.

Selon les moteurs d’analyse de réseau FOFA et Census, plus de 1 500 appareils de la série Zyxel CPE sont exposés à Internet, de sorte que la surface d’attaque est importante.

Dans un nouveau post aujourd’hui, VulnCheck a présenté tous les détails des deux failles qu’il a observées dans les attaques visant à obtenir un accès initial aux réseaux:

  • CVE-2024-40891 – Les utilisateurs authentifiés peuvent exploiter l’injection de commandes Telnet en raison d’une validation de commande incorrecte dans libcms_cli.so. Certaines commandes (par exemple, ifconfig, ping, tftp) sont passées sans contrôle à une fonction d’exécution shell, permettant l’exécution de code arbitraire à l’aide de métacaractères shell.
  • CVE-2025-0890 – Les appareils utilisent des informations d’identification par défaut faibles (admin:1234, zyuser:1234, superviseur:zyad1234), que de nombreux utilisateurs ne modifient pas. Le compte superviseur a des privilèges cachés, accordant un accès complet au système, tandis que zyuser peut exploiter CVE-2024-40891 pour l’exécution de code à distance.
Comptes par défaut dans le fichier /etc / default.fichier gcf

VulnCheck a divulgué les détails complets de l’exploitation, démontrant son PoC par rapport au VMG4325-B10A exécutant la version 1.00 du micrologiciel (AAFR.4) Numéro C0_20170615.

PoC pour injection de commandes Telnet

Les chercheurs ont averti que bien que ces appareils ne soient plus pris en charge depuis de nombreuses années, ils se trouvent toujours dans des réseaux du monde entier.

« Bien que ces systèmes soient plus anciens et semblent ne plus être pris en charge depuis longtemps, ils restent très pertinents en raison de leur utilisation continue dans le monde entier et de l’intérêt soutenu des attaquants », a averti VulnCheck

« Le fait que les attaquants exploitent encore activement ces routeurs souligne le besoin d’attention, car la compréhension des attaques du monde réel est essentielle à une recherche efficace sur la sécurité. »

Zyxel suggère un remplacement
Le dernier avis de Zyxel confirme que les vulnérabilités divulguées par VulnCheck affectent aujourd’hui plusieurs produits en fin de vie (EoL).

Le fournisseur déclare que les appareils concernés ont atteint leur fin de vie il y a plusieurs années, suggérant leur remplacement par des équipements de nouvelle génération.

« Nous avons confirmé que les modèles concernés rapporté par VulnCheck, VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300, et SBG3500, sont l’héritage des produits qui ont atteint leur fin de vie (EOL) depuis des années », lit-Zyxel consultatif.

« Par conséquent, nous recommandons fortement aux utilisateurs de les remplacer par des produits de nouvelle génération pour une protection optimale. »

Zyxel inclut également une troisième faille dans l’avis, CVE-2024-40890, un problème d’injection de commande post-authentification similaire à CVE-2024-40891.

Fait intéressant, Zyxel affirme que bien qu’il ait demandé à VulnCheck de partager un rapport détaillé depuis juillet dernier, ils ne l’ont jamais fait. Au lieu de cela, ils auraient publié leur article sans les en informer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *