Zyxel отказывается исправлять уязвимости безопасности в старых роутерах

Исследователи безопасности предупреждают об эксплуатации двух уязвимостей в устройствах Zyxel. Производитель подтвердил наличие этих проблем, но отметил, что устройства больше не поддерживаются. Пользователям рекомендуют перейти на более новые модели.

Производитель сетевого оборудования из Тайваня Zyxel признал несколько уязвимостей в своих популярных маршрутизаторах, однако заявил, что патчи для этих устройств не будут выпущены, так как они достигли конца срока поддержки. Исследователи безопасности обнаружили две уязвимости в интернет-соединенных устройствах Zyxel летом 2024 года и ранее предупредили о том, что эти проблемы активно используются злоумышленниками.

В новом выпуске специального Advisories по безопасности компания подтвердила наличие этих уязвимостей и их эксплуатацию в реальном мире. Однако она также отметила, что уязвимые устройства уже находятся за пределами срока поддержки (EOL). Поэтому пользователям рекомендуется заменить свои устройства на более новые модели, которые всё еще поддерживаются.

Две уязвимости отслеживаются как CVE-2024-40891 (неправильная проверка команд) и CVE-2025-0890 (уязвимость слабых по умолчанию учетных данных). В своем заявлении Zyxel отметила, что недавно узнала о том, что эти CVE были упомянуты на блоге GreyNoise. Кроме того, компания VulnCheck сообщила, что опубликует технические детали этих уязвимостей на своём сайте.

Zyxel подтвердила, что модели устройств, указанные VulnCheck (VMG1312-B10A, VMG1312-B10B, VMG1312-B10E, VMG3312-B10A, VMG3313-B10A, VMG3926-B10B, VMG4325-B10A, VMG4380-B10A, VMG8324-B10A, VMG8924-B10A, SBG3300 и SBG3500), являются устаревшими продуктами, которые уже давно достигли конца срока поддержки. Следовательно, компания настоятельно рекомендует пользователям заменить их на более новые устройства для лучшей защиты.

В своем отчете BleepingComputer указывает, что как FOFA, так и Censys показывают более 1500 устройств серии Zyxel CPE, которые доступны из интернета. Это указывает на значительную площадь атаки. В то же время VulnCheck предоставил концептуальное доказательство (PoC) для устройства VMG4325-B10A с прошивкой версии 1.00(AAFR.4)C0_20170615, что подтверждает реальный характер атаки.

«Хотя эти системы старые и давно перестали поддерживаться, они остаются высокорелевантными из-за их продолжительного использования по всему миру и постоянного интереса со стороны злоумышленников», — говорит VulnCheck. «То, что атакующие все еще активно используют эти маршрутизаторы, подчеркивает необходимость пристального внимания, так как понимание реальных атак критически важно для эффективных исследований в области безопасности».