[情資發布]Zyxel針對多款終止服務DSL CPE 零時差漏洞遭到利用說明與建議
情資卡編號:
TCCY-RCDC-200-202502-0000022
事件主旨:
Zyxel針對多款終止服務DSL CPE 零時差漏洞遭到利用說明與建議
內容說明:
Zyxel於2025年2月4日發布安全公告,說明最近注意到GreyNoise部落格上的一篇文章,揭露某些舊版DSL CPE型號存在CVE-2024-40890 及CVE-2024-40891零時差漏洞,被用於散布殭屍網路Mirai變種,攻擊者可以執行任意命令,導致整個系統遭入侵、資料外洩或網路滲透。在發佈時,Censys報告網路有超過1,500台易受攻擊的設備。因此,強烈建議客戶使用新一代產品取代過時設備以獲得最佳保護。
另外,VulnCheck通知Zyxel,將在其部落格上發布有關CVE-2024-40891及CVE-2025-0890的技術細節,已確認VulnCheck報告的受影響型號包括VMG1312-B10A、VMG1312-B10B、VMG1312-B10E、VMG3312-B10A、VMG3313-B10A、VMG3926-B10B、VMG4325-B10A、VMG4380-B10A、VMG8324-B10A、VMG8924-B10A、SBG3300及SBG3500已達到使用壽命終止(EOL)多年的傳統產品。CGI程式中存在認證後命令注入漏洞,可能允許經過認證的攻擊者,透過發送精心設計的HTTP POST請求,在受影響的裝置上執行作業系統命令。值得注意的是,這些設備預設禁用WAN存取,並且只有在用戶配置的密碼被洩漏的情況下,此攻擊才會成功。
VulnCheck亦於2月4日的新文章中,詳細介紹旨在獲取網路初始存取權的攻擊,觀察到的兩個漏洞的全部細節:
CVE-2024-40891:由於libcms_cli.so中的命令驗證不當,經過身份驗證的使用者可以利用Telnet命令注入。某些命令(例如ifconfig、ping、tftp)未經檢查就傳遞給shell執行函數,進而允許使用shell元字元執行任意程式碼。
CVE-2025-0890:裝置使用預設弱憑證(admin:1234、zyuser:1234、supervisor:zyad1234),許多使用者不會變更這些憑證。supervisor具有隱藏權限,授予完全系統存取權限,而zyuser可以利用CVE-2024-40891進行遠端執行程式碼。
風險等級:
2
建議措施:
一、 影響範圍
DSL CPE型號VMG1312-B10A、VMG1312-B10B、VMG1312-B10E、VMG3312-B10A、VMG3313-B10A、VMG3926-B10B、VMG4325-B10A、VMG4380-B10A、VMG8324-B10A、VMG8924-B10A、SBG3300及SBG3500
二、 建議
Zyxel說明這些產品型號已達到EOL狀態數年,根據產業產品生命週期管理實踐,建議客戶使用新一代設備取代這些傳統產品,以獲得最佳保護。若透過ISP取得Zyxel產品,請聯絡ISP尋求支援。此外,停用遠端存取和定期更改密碼,可以幫助防止潛在攻擊。
其他相關事項,請參閱以下官方網址:
https://www.zyxel.com/global/en/support/security-advisories/zyxel-security-advisory-for-command-injection-and-insecure-default-credentials-vulnerabilities-in-certain-legacy-dsl-cpe-02-04-2025