Zyxel no reparará fallos explotados en sus routers

Iniciado por AXCESS, Febrero 05, 2025, 11:13:59 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Febrero 05, 2025, 11:13:59 PM


Zyxel ha emitido un aviso de seguridad sobre fallas explotadas activamente en los dispositivos de la serie CPE, advirtiendo que no tiene planes de emitir parches de reparación e instando a los usuarios a pasarse a modelos con soporte activo.

VulnCheck descubrió las dos fallas en julio de 2024, pero la semana pasada, GreyNoise informó haber visto intentos de explotación en la red.

Según los motores de escaneo de red FOFA y Censys, más de 1500 dispositivos de la serie CPE de Zyxel están expuestos a Internet, por lo que la superficie de ataque es significativa.

En una nueva publicación de hoy, VulnCheck presentó los detalles completos de las dos fallas que observó en ataques destinados a obtener acceso inicial a las redes:

CVE-2024-40891: los usuarios autenticados pueden explotar la inyección de comandos Telnet debido a una validación de comandos incorrecta en libcms_cli.so. Ciertos comandos (por ejemplo, ifconfig, ping, tftp) se pasan sin marcar a una función de ejecución de shell, lo que permite la ejecución de código arbitrario utilizando metacaracteres de shell.

CVE-2025-0890: los dispositivos utilizan credenciales predeterminadas débiles (admin:1234, zyuser:1234, supervisor:zyad1234), que muchos usuarios no cambian. La cuenta de supervisor tiene privilegios ocultos que otorgan acceso total al sistema, mientras que zyuser puede aprovechar CVE-2024-40891 para la ejecución remota de código.

Cuentas predeterminadas en el archivo /etc/default.cfg



VulnCheck reveló los detalles completos de la explotación, demostrando su PoC contra VMG4325-B10A con la versión de firmware 1.00(AAFR.4)C0_20170615.

PoC para inyección de comandos Telnet


Los investigadores advirtieron que, a pesar de que estos dispositivos ya no reciben soporte desde hace muchos años, todavía se encuentran en redes de todo el mundo.

"Aunque estos sistemas son más antiguos y aparentemente hace tiempo que no reciben soporte, siguen siendo muy relevantes debido a su uso continuo en todo el mundo y al interés sostenido de los atacantes", advirtió VulnCheck.

"El hecho de que los atacantes sigan explotando activamente estos enrutadores subraya la necesidad de prestarles atención, ya que comprender los ataques del mundo real es fundamental para una investigación de seguridad eficaz".

Zyxel sugiere un reemplazo

El último aviso de Zyxel confirma que las vulnerabilidades reveladas por VulnCheck hoy afectan a varios productos al final de su vida útil (EoL).

El proveedor afirma que los dispositivos afectados alcanzaron el EoL hace varios años, lo que sugiere su reemplazo por equipos de nueva generación.

"Hemos confirmado que los modelos afectados informados por VulnCheck, VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 y SBG3500, son productos antiguos que han llegado al final de su vida útil (EOL) hace años", se lee en el aviso de Zyxel.

"Por lo tanto, recomendamos encarecidamente que los usuarios los reemplacen con productos de nueva generación para una protección óptima".

Zyxel también incluye una tercera falla en el aviso, CVE-2024-40890, un problema de inyección de comandos posterior a la autenticación similar a CVE-2024-40891.

Curiosamente, Zyxel afirma que, aunque solicitó a VulnCheck que compartiera un informe detallado desde julio pasado, nunca lo hicieron. En cambio, supuestamente publicaron su informe sin informarles.

Fuente:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario