台湾硬件制造商Zyxel宣布,它不会在多个旧版DSL客户场所设备(CPE)产品中发布两个积极利用的漏洞的补丁。这些漏洞被跟踪为 CVE-2024-40890 和 CVE-2024-40891,允许攻击者执行任意命令,从而导致潜在的系统妥协和数据剥落。
Zyxel不会修补Legacy DSL设备中的关键漏洞
威胁情报启动Greynoise 报告 在1月下旬,零日漏洞正在积极利用,包括总部位于Mirai的僵尸网络,这表明它们在大规模攻击中使用。 Zyxel声称,在Greynoise对其剥削的警报之后,它首先意识到了1月29日的这些漏洞。
Vulncheck在2024年7月发现了这些漏洞,并于同年8月将其报告给Zyxel。但是,Zyxel到目前为止还没有透露这些缺陷,并指出受影响的旧产品已经达到了几年的寿命(EOL)状态。受影响的模型包括:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Zyxel进一步 解释了 默认情况下,在这些设备上默认禁用了通常利用这些漏洞的WAN访问和telnet函数;但是,攻击者将需要使用受损的凭据来利用错误。该公司指出,由于对这些模型的支持是几年前停止的,因此不会为漏洞提供补丁。
Vulncheck表明,尽管Zyxel将其称为旧产品,但仍有许多脆弱设备可供购买。他们还强调说,设备利用硬编码帐户,使其容易剥削。 The Internet设备的搜索引擎Censys表示,大约有1,500个脆弱设备仍然暴露于Internet。
除了上述漏洞外,Zyxel还确定了一个新的漏洞CVE-2025-0890,该漏洞允许攻击者使用默认的凭据访问管理接口。 Zyxel对客户的建议是用新一代设备替换这些旧产品,以进行最佳保护。
特色图片来源: Zyxel
