Zyxel多款旧DSL设备存在2个零日漏洞，无修复措施

Zyxel周二发布消息称，多洞无涉及多款旧DSL用户端设备（CPE）产品中的款旧两个零日漏洞将不再提供修复措施。此前，备存威胁情报公司GreyNoise曾发出警告，个零有1500多台设备受到一个严重的日漏命令注入漏洞影响，而且这个漏洞正在被基于Mirai的修复僵尸网络大肆利用。

GreyNoise公司表示：“在发现利用CVE - 2024 - 40891的措施IP地址与被归类为Mirai的IP地址存在显著重叠后 ，我们对Mirai的多洞无一个近期变种展开了调查，结果确认利用CVE - 2024 - 40891的款旧能力已经被整合到某些Mirai变种之中 。”

CVE - 2024 - 40891这个漏洞，模板下载备存于2024年中旬和CVE - 2024 - 40890（也是个零一个类似的命令注入漏洞）一同被披露出来。它们的日漏主要区别在于攻击向量，一个是修复HTTP ，另一个是措施Telnet 。

攻击者能够利用这些安全漏洞
，多洞无在易受攻击的设备上执行任意命令
，进而完全掌控设备并窃取数据，这极有可能危及部署这些产品的所在网络 。

周二当天，云计算Zyxel 明确表示
，这两个问题会影响到多款DSL CPE型号 ，具体包含VMG1312 - B10A
 、VMG1312 - B10B
、VMG1312 - B10E、VMG3312 - B10A、VMG3313 - B10A、VMG3926 - B10B
、VMG4325 - B10A、VMG4380 - B10A、VMG8324 - B10A、VMG8924 - B10A、SBG3300以及SBG3500。

Zyxel 还指出，在这些设备上  ，广域网（WAN）接入和用于利用漏洞的免费模板Telnet功能，默认是处于禁用状态的。而且，攻击者若要利用这些漏洞，需要使用被攻破的凭据登录受影响的设备才行。

按照供应商的说法，由于受影响的型号是多年前就已经停止支持的老旧设备，所以针对这两个漏洞都不会发布补丁 。源码下载对于在这些DSL CPE产品中新发现的一个漏洞（编号CVE - 2025 - 0890 ，该漏洞允许攻击者使用默认凭据登录管理界面）
 ，同样也不会有补丁发布 。

VulnCheck公司向合勤科技报告了这些漏洞 ，并且解释说，受影响的设备预先配置有三个硬编码账户，分别是“supervisor”
、“admin”和“zyuser”。

其中，supervisor在网络界面不可见，但在Telnet界面具备相应功能，包括能够访问一个隐藏命令，通过这个命令它可以获得对系统的香港云服务器无限制访问权限。而zyuser账户在用户表中是可见的 ，并且具有提升后的权限，攻击者可利用它通过已被利用的CVE - 2024 - 40891漏洞实现完全远程代码执行。

VulnCheck公司表示：“虽然这些设备已经老化，按道理应该停止支持了
，但目前仍有数千台设备处于在线暴露的状态。默认凭据与命令注入这两者相结合，使得它们成为容易被攻击的目标 ，这也凸显出不安全默认配置以及糟糕的服务器租用漏洞透明度所带来的危险。”

据Zyxel 称，VulnCheck公司在2024年7月就报告了CVE - 2024 - 40890和CVE - 2024 - 40891这两个漏洞，不过当时并没有提供详细报告，而是直接公开披露了这些漏洞。直到GreyNoise上周发出野外利用警告之后 ，VulnCheck公司才发送了关于所有三个漏洞的详细信息。

供应商还发出警告 ，受影响的设备“是已经达到产品生命周期终止（EOL）状态多年的老旧产品
。按照行业产品生命周期管理惯例，合勤科技建议客户用新一代设备替换这些老旧产品，这样才能实现最佳保护。”

参考来源：https://www.securityweek.com/zyxel-issues-no-patch-warning-for-exploited-zero-days/