Der taiwanesische Hardwarehersteller Zyxel kündigte an, dass er keinen Patch für zwei aktiv ausgenutzte Schwachstellen in mehreren Legacy DSL Customer Räumlichkeiten (CPE) -Peen (CPE) veröffentlichen wird. Diese Schwachstellen, verfolgt als CVE-2024-40890 Und CVE-2024-40891Ermöglichen Sie den Angreifern, willkürliche Befehle auszuführen, was zu potenziellen Systemen Kompromissen und Daten -Exfiltration führt.
Zyxel wird keine kritischen Schwachstellen in Legacy -DSL -Geräten pflücken
Bedrohung Intelligenz -Startup Greynoise gemeldet Ende Januar, dass die Zero-Day-Schwachstellen aktiv ausgenutzt wurden, einschließlich von Botnetten in Mirai, was auf ihre Verwendung bei groß angelegten Angriffen hinweist. Zyxel behauptet, es sei am 29. Januar zuerst auf diese Schwachstellen aufmerksam geworden, nachdem Greynoise auf ihre Ausbeutung aufmerksam wurde.
Vulncheck entdeckte die Schwachstellen im Juli 2024 und meldete sie im August desselben Jahres Zyxel. Zyxel hat die Fehler bisher nicht offengelegt und erklärt, dass die betroffenen Legacy-Produkte seit mehreren Jahren den Status des Lebens am Lebensende (EOL) erreicht haben. Die betroffenen Modelle umfassen:
- VMG1312-B10A
- VMG1312-B10B
- VMG1312-B10E
- VMG3312-B10A
- VMG3313-B10A
- VMG3926-B10B
- VMG4325-B10A
- VMG4380-B10A
- VMG8324-B10A
- VMG8924-B10A
- SBG3300
- SBG3500
Zyxel weiter erklärt dass die WAN -Zugriffs- und Telnet -Funktionen, die üblicherweise für diese Schwachstellen ausgewählt wurden, auf diesen Geräten standardmäßig deaktiviert sind; Ein Angreifer müsste sich jedoch anmelden, um kompromittierte Anmeldeinformationen zu verwenden, um die Fehler auszunutzen. Das Unternehmen stellte fest, dass die Unterstützung für diese Modelle vor Jahren keine Patches für die Schwachstellen bereitstellt.
VulnCheck gab an, dass viele der schutzbedürftigen Geräte trotz Zyxels Bezeichnung als Legacy -Produkte immer noch zum Kauf erhältlich sind. Sie betonten auch, dass die Geräte hartcodierte Konten verwenden, was sie zu einfachen Zielen für die Nutzung machen. Laut Censys, einer Suchmaschine für das Internet der Dinge, sind ungefähr 1.500 gefährdete Geräte im Internet ausgesetzt.
Zusätzlich zu den oben genannten Schwachstellen identifizierte Zyxel eine neue Sicherheitsanfälligkeit, CVE-2025-0890, die es den Angreifern ermöglicht, mit Standardanmeldeinformationen auf die Verwaltungsschnittstelle zugreifen zu können. Zyxels Rat an Kunden ist es, diese älteren Produkte durch Geräte mit neuer Generation für einen optimalen Schutz zu ersetzen.
Ausgewähltes Bildnachweis: Zyxel
