0day в Zyxel: почему тысячи устройств так долго не получают заветного патча

Хакеры активно эксплуатируют критическую уязвимость CVE-2024-40891 в устройствах Zyxel CPE, которая позволяет выполнять произвольные команды без аутентификации. Проблема остаётся неустранённой с июля прошлого года, что делает устройства уязвимыми для атак.

По данным VulnCheck, уязвимость была добавлена в базу 12 июля 2024 года и входит в число тех, что используются злоумышленниками для первоначального доступа. Она связана с возможностью выполнения команд через сервисные учётные записи «supervisor» и «zyuser». Несмотря на серьёзность угрозы, Zyxel до сих пор не выпустила исправления или официальное предупреждение.

Аналитики GreyNoise сообщают, что злоумышленники активно используют уязвимость, атакуя устройства со множества различных IP-адресов. Особенность CVE-2024-40891 заключается в том, что она связана с протоколом telnet, в отличие от другой недавней уязвимости CVE-2024-40890, работающей через HTTP.

По данным Censys, в открытом доступе находится более 1500 уязвимых устройств Zyxel CPE, большинство из которых расположены на Филиппинах, в Турции, Великобритании, Франции и Италии. Это делает их лёгкой мишенью для злоумышленников, которые могут использовать уязвимость для полной компрометации системы, кражи данных или проникновения в сеть.

Эксперты рекомендуют администраторам принять срочные меры, так как патч до сих пор не доступен. Среди временных решений — блокировка IP-адресов, замеченных в попытках эксплуатации уязвимости, а также мониторинг нетипичных telnet-запросов к устройствам Zyxel CPE. Ещё одним важным шагом является ограничение доступа к административному интерфейсу, оставив возможность подключения только для разрешённого списка IP-адресов.

Если функции удалённого управления не используются, их лучше полностью отключить, чтобы минимизировать риск атак. Это поможет сократить потенциальную поверхность атаки и усложнить злоумышленникам доступ к устройству.