شرکت Zyxel یک توصیهنامه امنیتی درباره نقصهای امنیتی که بهطور فعال در دستگاههای سری CPE مورد سوءاستفاده قرار گرفتهاند، منتشر کرده است. این شرکت هشدار داده که هیچ برنامهای برای ارائه وصلههای اصلاحی ندارد و کاربران را به مهاجرت به مدلهایی که همچنان پشتیبانی میشوند، ترغیب کرده است.
شرکت VulnCheck دو آسیبپذیری را در ژوئیه ۲۰۲۴ کشف کرد، اما هفته گذشته، شرکت GreyNoise گزارش داد که تلاشهایی برای سوءاستفاده از این نقصها در فضای واقعی مشاهده شده است.
بر اساس دادههای موتورهای اسکن شبکه FOFA و Censys، بیش از ۱,۵۰۰ دستگاه از سری CPE شرکت Zyxel در معرض اینترنت قرار دارند، بنابراین سطح حمله قابل توجه است.
در پستی جدید امروز، شرکت VulnCheck جزئیات کامل دو آسیبپذیریای را که در حملاتی با هدف دستیابی اولیه به شبکهها مشاهده کرده است، ارائه داد.
CVE-2024-40891 – کاربران احراز هویتشده میتوانند از طریق تزریق فرمان در Telnet، به دلیل اعتبارسنجی نادرست دستورات در فایل libcms_cli.so، سوءاستفاده کنند. برخی از دستورات (مانند ifconfig، ping و tftp) بدون بررسی به یک تابع اجرای شل ارسال میشوند و این امکان را فراهم میکنند که از طریق متاکاراکترهای شل، کد دلخواه اجرا شود.
CVE-2025-0890 – این دستگاهها از اطلاعات کاربری پیشفرض ضعیفی (مانند admin:1234، zyuser:1234، و supervisor:zyad1234) استفاده میکنند که بسیاری از کاربران آنها را تغییر نمیدهند. حساب کاربری ‘supervisor’ دارای دسترسیهای مخفی بوده و امکان کنترل کامل سیستم را فراهم میکند، درحالیکه حساب ‘zyuser’ میتواند از آسیبپذیری CVE-2024-40891 برای اجرای کد از راه دور سوءاستفاده کند.
شرکت VulnCheck جزئیات کامل بهرهبرداری از این آسیبپذیری را افشا کرد و اثبات مفهوم (PoC) آن را روی دستگاه VMG4325-B10A با نسخهی میانافزار ۱٫۰۰(AAFR.4)C0_20170615 به نمایش گذاشت.
پژوهشگران هشدار دادند که با وجود اینکه این دستگاهها سالهاست دیگر پشتیبانی نمیشوند، هنوز در شبکههای سرتاسر جهان یافت میشوند.
شرکت VulnCheck هشدار داد: «اگرچه این سیستمها قدیمی و بهنظر میرسد که مدتهاست پشتیبانی نمیشوند، اما بهدلیل استفاده مداوم از آنها در سرتاسر جهان و علاقهی مستمر حملهکنندگان، همچنان از اهمیت بالایی برخوردارند.»
اینکه حملهکنندگان هنوز هم بهطور فعال از این روترها سوءاستفاده میکنند، اهمیت توجه به این مسئله را برجسته میکند، چرا که درک حملات دنیای واقعی برای تحقیقات امنیتی مؤثر حیاتی است.
Zyxel پیشنهاد میکند که دستگاهها تعویض شوند.
آخرین توصیهنامه Zyxel تأیید میکند که آسیبپذیریهایی که امروز توسط VulnCheck افشا شده است، چندین محصول از ردهخارجشده (EoL) را تحت تاثیر قرار میدهد.
فروشنده اعلام میکند که دستگاههای تحت تاثیر چندین سال پیش به پایان عمر (EoL) رسیدهاند و پیشنهاد میکند که این دستگاهها با تجهیزات نسل جدید جایگزین شوند.
در توصیهنامه Zyxel آمده است: «ما تأیید کردهایم که مدلهای تحت تأثیر گزارششده توسط VulnCheck، شامل VMG1312-B10A، VMG1312-B10B، VMG1312-B10E، VMG3312-B10A، VMG3313-B10A، VMG3926-B10B، VMG4325-B10A، VMG4380-B10A، VMG8324-B10A، VMG8924-B10A، SBG3300 و SBG3500، محصولات قدیمی هستند که سالهاست به پایان عمر (EOL) رسیدهاند.»
بنابراین، ما به شدت توصیه میکنیم که کاربران این دستگاهها را با محصولات نسل جدیدتر برای حفاظت بهینه تعویض کنند.
Zyxel همچنین یک نقص سوم را در توصیهنامه خود ذکر کرده است، CVE-2024-40890، که یک مشکل تزریق فرمان پس از احراز هویت است و مشابه با CVE-2024-40891 میباشد.
جالب اینجاست که Zyxel ادعا میکند که اگرچه از جولای گذشته از VulnCheck خواسته بود تا یک گزارش دقیق به اشتراک بگذارد، اما آنها هیچگاه این کار را نکردند. به جای آن، بهطور ادعا شدهای گزارش خود را بدون اطلاعرسانی به زایکسل منتشر کردند.
